-
-
-
wuyuxi_876 | 当前状态:在线
总积分:244 2024年可用积分:0
注册时间: 2011-01-05
最后登录时间: 2019-06-28
-
-
传统防火墙能让我们的工业网络安全吗?
wuyuxi_876 发表于 2011/3/25 10:02:53 1329 查看 0 回复 [上一主题] [下一主题]
手机阅读
传统防火墙分3类:包过滤防火墙,状态检测防火墙,应用代理防火墙。
1、包过滤防火墙:
工作原理:根据已经定义好的过滤规则来审查每个数据报,并确定该数据报是否与过滤规则匹配,从而绝地的那个数据报是否能通过。
工作在 网际层 传输层
缺点:
◆包过滤技术主要依据是在IP报头中的各种信息,但IP包中信息的可靠性没有保证,IP源地址可以伪造,通过内部合谋,入侵者轻易就可以绕过防火墙。
◆并非所有的服务都与静态端口绑定,包过滤只能够过滤IP地址,所以不能识别相同IP地址下不同的用户,从而不具备身份认证的功能。
◆工作在网际层和传输层,不能检测那些对高层进行的攻击
◆如果为了提高安全性而是用很复杂的过滤规则,那么效率就会大大降低
◆对每一个数据报单独处理,不具备防御Dos攻击和DDos攻击的能力
2、状态检测防火墙(SPI 动态包过滤 自适应防火墙)
在基本包过滤的基础上增加了状态检测的功能,它记录和跟踪所有进出数据报的信息,对连接的状态进行动态维护和分析,一旦发现异常的流量或异常连接,就动态生成过滤规则。
工作在 网际层 传输层
缺点:
不能对应用层数据进行控制,不能记录高层次的日志。
3、应用代理防火墙
基于软件实现,包含3个模块,客户代理模块,服务器代理模块,过滤模块。客户代理模块负责处理客户访问请求,由过滤模块分析和决定是否接受请求
工作在 应用层
缺点:
工作效率低,对不同的应用层服务都可能需要定制不同的应用代理防火墙软件,缺乏灵活性,不易扩展,目前常规应用代理防火墙仅限于HTTP、FTP、 SMTP通讯协议,没有针对工业通讯协议的应用。所以传统防火墙并非我们工业网络安全的保护墙。我们需要真正的工业级防火墙。