相信目前很多小伙伴對(duì)于電腦防火墻的主要作用是什么？都比較感興趣，那么小編今天在網(wǎng)上也是收集了一些與電腦防火墻的主要作用是什么？相關(guān)的信息來(lái)分享給大家，希望能夠幫助到大家哦。

防火墻具有很好的保護(hù)作用，入侵者必須首先穿越防火墻的安全防線(xiàn)，才能接觸目標(biāo)計(jì)算機(jī)。

從實(shí)現(xiàn)原理上分，防火墻的技術(shù)包括四大類(lèi)：網(wǎng)絡(luò)級(jí)防火墻（也叫包過(guò)濾型防火墻）、應(yīng)用級(jí)網(wǎng)關(guān)、電路級(jí)網(wǎng)關(guān)和規(guī)則檢查防火墻。

網(wǎng)絡(luò)級(jí)防火墻
一般來(lái)說(shuō)，它是根據(jù)源地址和目的地址、應(yīng)用程序、協(xié)議和每個(gè)IP包的端口來(lái)決定是否通過(guò)。

路由器是“傳統(tǒng)的”網(wǎng)絡(luò)級(jí)防火墻。

大多數(shù)路由器可以通過(guò)檢查這些信息來(lái)確定是否轉(zhuǎn)發(fā)接收到的數(shù)據(jù)包，但無(wú)法確定IP數(shù)據(jù)包從何而來(lái)，從何而去。

防火墻檢查每個(gè)規(guī)則，直到發(fā)現(xiàn)數(shù)據(jù)包中的信息與規(guī)則匹配為止。

如果沒(méi)有可以滿(mǎn)足的規(guī)則，防火墻將使用默認(rèn)規(guī)則。

通常，默認(rèn)規(guī)則是要求防火墻丟棄數(shù)據(jù)包。

其次，通過(guò)定義基于TCP或UDP包的端口號(hào)，防火墻可以確定是否允許建立特定的連接，如telnet和FTP連接。

2、應(yīng)用級(jí)網(wǎng)關(guān)
應(yīng)用級(jí)網(wǎng)關(guān)可以檢查傳入和傳出的數(shù)據(jù)包，通過(guò)網(wǎng)關(guān)復(fù)制和傳輸數(shù)據(jù)，防止可信服務(wù)器和客戶(hù)端與不可信主機(jī)直接建立聯(lián)系。

應(yīng)用層網(wǎng)關(guān)可以理解應(yīng)用層的協(xié)議，進(jìn)行更復(fù)雜的訪(fǎng)問(wèn)控制，并進(jìn)行精細(xì)的注冊(cè)和審計(jì)。

它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議，即數(shù)據(jù)過(guò)濾協(xié)議，能夠?qū)?shù)據(jù)包進(jìn)行分析并形成相關(guān)的報(bào)表。

應(yīng)用網(wǎng)關(guān)對(duì)一些易于登錄和控制所有輸出和輸入通信的環(huán)境進(jìn)行嚴(yán)格控制，以防止有價(jià)值的程序和數(shù)據(jù)被盜。

在實(shí)際應(yīng)用中，應(yīng)用網(wǎng)關(guān)通常由一個(gè)專(zhuān)用的工作站系統(tǒng)來(lái)完成。

然而，每一個(gè)協(xié)議都需要相應(yīng)的代理軟件，由于其工作量大，效率不如網(wǎng)絡(luò)防火墻。

應(yīng)用層網(wǎng)關(guān)具有較好的訪(fǎng)問(wèn)控制能力，是目前最安全的防火墻技術(shù)，但實(shí)現(xiàn)起來(lái)比較困難，一些應(yīng)用層網(wǎng)關(guān)缺乏“透明性”。

實(shí)際上，當(dāng)用戶(hù)通過(guò)可信網(wǎng)絡(luò)上的防火墻訪(fǎng)問(wèn)Internet時(shí)，他們經(jīng)常發(fā)現(xiàn)存在延遲，必須多次登錄才能訪(fǎng)問(wèn)Internet或intranet。

3、電路級(jí)網(wǎng)關(guān)
電路級(jí)網(wǎng)關(guān)用于監(jiān)控可信客戶(hù)端或服務(wù)器與不可信主機(jī)之間的TCP握手信息，以確定會(huì)話(huà)是否合法。

在OSI模型中，電路級(jí)網(wǎng)關(guān)過(guò)濾會(huì)話(huà)層上的包，這比包過(guò)濾防火墻高兩層。

電路級(jí)網(wǎng)關(guān)還提供了一個(gè)重要的安全功能：代理服務(wù)器。

代理服務(wù)器是Internet防火墻網(wǎng)關(guān)中設(shè)置的一種特殊的應(yīng)用程序級(jí)代碼。

此代理服務(wù)允許管理員允許或拒絕特定應(yīng)用程序或應(yīng)用程序的特定功能。

包過(guò)濾技術(shù)和應(yīng)用網(wǎng)關(guān)通過(guò)特定的邏輯判斷來(lái)決定是否允許特定的數(shù)據(jù)包通過(guò)。

一旦滿(mǎn)足判斷條件，防火墻內(nèi)網(wǎng)的結(jié)構(gòu)和運(yùn)行狀態(tài)就會(huì)“暴露”給國(guó)外用戶(hù)，這就引入了代理服務(wù)的概念，即防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)應(yīng)用層的“鏈路”被兩個(gè)代理服務(wù)“鏈路”終止，從而實(shí)現(xiàn)成功實(shí)現(xiàn)了防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的隔離。

同時(shí)，代理服務(wù)還可以實(shí)現(xiàn)強(qiáng)大的數(shù)據(jù)流監(jiān)控、過(guò)濾、記錄和報(bào)告功能。

代理服務(wù)技術(shù)主要由專(zhuān)用計(jì)算機(jī)硬件（如工作站）承擔(dān)。

4、規(guī)則檢查防火墻
防火墻結(jié)合了包過(guò)濾防火墻、電路級(jí)網(wǎng)關(guān)和應(yīng)用級(jí)網(wǎng)關(guān)的特點(diǎn)。

與包過(guò)濾防火墻一樣，規(guī)則檢查防火墻可以通過(guò)OSI網(wǎng)絡(luò)層上的IP地址和端口號(hào)過(guò)濾傳入和傳出的包。

與電路級(jí)網(wǎng)關(guān)一樣，它可以檢查syn和ACK標(biāo)記以及序列號(hào)是否按邏輯順序排列。

當(dāng)然，和應(yīng)用層網(wǎng)關(guān)一樣，它可以檢查OSI應(yīng)用層上的包內(nèi)容，看看這些內(nèi)容是否符合企業(yè)網(wǎng)絡(luò)的安全規(guī)則。

盡管規(guī)則檢查防火墻集成了前三種防火墻的特性，但它不同于應(yīng)用層網(wǎng)關(guān)，因?yàn)樗粫?huì)破壞客戶(hù)機(jī)/服務(wù)器模式來(lái)分析應(yīng)用層中的數(shù)據(jù)。

它允許受信任的客戶(hù)端和不受信任的主機(jī)建立直接連接。

規(guī)則檢查防火墻不依賴(lài)于與應(yīng)用層相關(guān)的代理，而是依賴(lài)于某種算法來(lái)識(shí)別傳入和傳出的應(yīng)用層數(shù)據(jù)。

這些算法通過(guò)了解合法數(shù)據(jù)包的模式來(lái)比較傳入和傳出的數(shù)據(jù)包，從而在理論上比應(yīng)用程序級(jí)代理更有效地過(guò)濾數(shù)據(jù)包。

本文到此結(jié)束，希望對(duì)大家有所幫助。

---

版權(quán)說(shuō)明： 本文由用戶(hù)上傳，如有侵權(quán)請(qǐng)聯(lián)系刪除！

---

標(biāo)簽：