|
第五章 防火墙系统的设计 由于Firewall主要的功能是在区隔保护网络通讯及连线管理,所以Firewall的「安全级数」及「执行效率」与Firewall所采用的通讯堆叠技术有著相当密切的关系,Firewall的通讯堆叠可检查到的资料多寡,关系到Firewall的「安全级数」及「执行效率」,以OSI的七层通讯堆叠为例。(如图 5.1 ) paper51.com
http://www.paper51.com 图 5.1 OSI的七层通讯堆叠 http://www.paper51.com 基本上Firewall所采用的通讯堆叠技术愈在高层,所能检查到的通讯资料愈多,其安全级数也就愈高,然而其执行效率反而较差。反之如果火墙所采用的通讯堆叠技术愈在低层,所能检查到的通讯资料愈少,其安全级数也就愈低,然而其执行效率反而较佳。 paper51.com 5.1 防火墙的分层技术 内容来自www.paper51.com 目前在市场上可以看到下列类型的Firewall技术,便是以其所采用的通讯堆叠而区分: copyright paper51.com ① 包过滤技术(Packet Filtering)(如图 5.1.1 ) http://www.paper51.com
paper51.com
内容来自www.paper51.com 图 5.1.1 包过滤技术 paper51.com
运作方式: paper51.com 在TCP/IP网络层(Network Layer)可以检查的资料。 paper51.com 来源 IP位址(Source IP Address) 内容来自www.paper51.com 目的 IP位址(Destination IP Address) copyright paper51.com 封包类型(TCP/UDP) copyright paper51.com 来源位址通讯埠号码 paper51.com 目的位址通讯埠号码 copyright paper51.com
内部网络与外部网络间是直接通讯(direct connection)。Firewall根据进出Firewall的 IP 封包进行对比查验。 paper51.com
② 状态检查技术(Stateful Inspection)(如图 5.1.2 ) http://www.paper51.com
内容来自论文无忧网 www.paper51.com 图 5.1.2 状态检测技术 paper51.com 运作方式: 内容来自www.paper51.com 在数据链路层(Data Link)及网络层(Network)之间插入一状态检查模组(Stateful Inspection Module)。 由状态检查模组动态集合各层的网络连线状态,并将连结状态存放 在动态状态表(Dynamic State Table)中。 内容来自www.paper51.com 在动态状态表中可以检查的资料: 内容来自论文无忧网 www.paper51.com
来源 IP 位址(Source IP Address) 。 copyright paper51.com 目的 IP 位址(Destination IP Address)。 copyright paper51.com
封包类型(TCP/UDP) 。 内容来自论文无忧网 www.paper51.com 网络服务通讯埠号码(port number)。 内容来自www.paper51.com
内部网络与外部网络间是直接通讯(direct connection)。 内容来自论文无忧网 www.paper51.com Firewall根据进出Firewall的 IP 封包及其连线状态进行比对查验。 paper51.com |