防火墙的理论特性和实际功能
防火墙理论特性:
- 创建阻塞点:通过允许,拒绝或重新定向经过防火墙的数据流,实现对进出内联网络的服务和访问的审计和控制,从而实现防止非法用户进入内联网络,并抵抗来自各种线路的攻击。
- 强化网络安全策略,提供集成功能。
- 实现网络隔离:
限制来自外联网络的访问。
限制网络内部未经授权的访问。
- 记录和审计内联网络与外联网络之间的活动
- 自身具有抵御攻击的能力
防火墙的实际功能:
- 包过滤:数据包的过滤参数有很多,最基本的是通信双方的IP地址和端口号。
优点:1,技术实现简单,快速。2,包过滤技术对用户是透明的。
缺点:1,包过滤技术思想简单,对信息的处理能力有限。2,当过滤规则增多的时候,对于规则的维护是一个问题。3,控制层次低,不能实现用户级控制。特别是不能实现对用户合法身份和冒用IP地址的确定。
- 代理:透明代理(内联网络用户在访问外联网络的时候,本机配置无需任何改变,防火墙就像透明的一样)
传统代理(需要在客户端设置代理服务器)
- 网络地址转换(NAT)
- 虚拟专用网(VPN):现在越来越多厂家将防火墙和VPN集成在一起,多数防火墙支持VPN加密标准,并提供基于硬件的加密。
- 用户身份认证
- 记录、报警、分析与审计
- 管理功能
