美國(guó)高防服務(wù)器的防火墻是強(qiáng)加在網(wǎng)絡(luò)之間的邊界處，以保護(hù)內(nèi)部網(wǎng)絡(luò)安全的存在，所以美國(guó)高防服務(wù)器配置防火墻是作為保護(hù)網(wǎng)絡(luò)安全最常用的措施之ー。而為了實(shí)現(xiàn)安全保護(hù)功能，美國(guó)高防服務(wù)器防火墻經(jīng)歷過包過滅、應(yīng)用代理網(wǎng)關(guān)、狀態(tài)檢測(cè)幾個(gè)重要的技術(shù)階段，本文編就簡(jiǎn)單介紹一下美國(guó)高防服務(wù)器防火墻這些技術(shù)的特點(diǎn)。

1、包過濾技術(shù)

包過濾防火墻工作在美國(guó)高防服務(wù)器網(wǎng)絡(luò)層，對(duì)數(shù)據(jù)包的源及目的IP具有識(shí)別和控制作用，對(duì)于傳輸層也能識(shí)別數(shù)據(jù)包是TCP還是UDP及所用的端口信息。現(xiàn)在的路由器、帶有路由功能的工具以及通用操作系統(tǒng)基本都具有包過源控制的能力。

包過濾防火墻的特點(diǎn)：

1）不支持應(yīng)用層協(xié)議

假如美國(guó)高防服務(wù)器內(nèi)網(wǎng)用戶提出這樣一個(gè)需求，只允許內(nèi)網(wǎng)員工訪問外網(wǎng)的網(wǎng)頁(yè)，不允許去外網(wǎng)下載電影，這時(shí)包過濾防火墻因?yàn)樗徽J(rèn)識(shí)數(shù)據(jù)包中的應(yīng)用層協(xié)議，訪問控制力度太粗糙，所以無法實(shí)現(xiàn)。

2）不能處理新的安全威肋

包過濾防火墻不能跟蹤美國(guó)高防服務(wù)器TCP狀態(tài)，所以對(duì)TCP層的控制有漏洞。如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問時(shí)，一些以TCP應(yīng)答包的形式從外部對(duì)內(nèi)網(wǎng)進(jìn)行的攻擊仍可以穿適防火墻。

2、應(yīng)用代理網(wǎng)關(guān)技術(shù)

應(yīng)用代理網(wǎng)關(guān)防火墻徹底隔斷美國(guó)高防服務(wù)器內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對(duì)外網(wǎng)的訪可變成防火墻對(duì)外網(wǎng)的訪可，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。美國(guó)高防服務(wù)器所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時(shí)候都不能與服務(wù)噐建立直接的TCP連接，應(yīng)用層的協(xié)議會(huì)話過程必須符合代理的安全策略要求。應(yīng)用代理網(wǎng)關(guān)具有可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對(duì)數(shù)據(jù)包的檢測(cè)能力比較強(qiáng)的優(yōu)點(diǎn)。

應(yīng)用代理網(wǎng)關(guān)防火墻的特點(diǎn)：

1.）難以配置

由于每個(gè)應(yīng)用都要求單獨(dú)代理進(jìn)程，這就要求美國(guó)高防服務(wù)器網(wǎng)管能理解每項(xiàng)應(yīng)用協(xié)議的弱點(diǎn)，并能合理配置安全策略，由于配置煩瑣，難以理解，容易出現(xiàn)配置失誤，最終影響內(nèi)網(wǎng)的安全防范能力。

2）處理速度非常慢

斷掉美國(guó)高防服務(wù)器所有的連接，由防火墻重新建立連接，理論上可以使應(yīng)用代理防火墻具有極高的安全性，但是實(shí)際應(yīng)用中并不可行，因?yàn)閷?duì)于內(nèi)網(wǎng)的每個(gè)Web訪可請(qǐng)求，應(yīng)用代理都需要開一個(gè)單獨(dú)的代理進(jìn)程，它要保護(hù)內(nèi)網(wǎng)的Web服務(wù)噐、數(shù)據(jù)庫(kù)服務(wù)噐、文件服務(wù)器、郵件服務(wù)器及業(yè)務(wù)程序等，就需要建立一個(gè)個(gè)的服務(wù)代理，以處理客戶端的訪問請(qǐng)求。這樣應(yīng)用代理的處理延遲會(huì)很大，而美國(guó)高防服務(wù)器內(nèi)網(wǎng)用戶的正常Web訪問不能及時(shí)得到響應(yīng)。

3、狀態(tài)檢測(cè)技術(shù)

Internet上傳輸?shù)臄?shù)據(jù)都必須遵循 TCP/IP協(xié)議，根據(jù)TCP協(xié)議，每個(gè)可靠連接的建立需要經(jīng)過【客戶端同步請(qǐng)求】、【服務(wù)器應(yīng)答】、【客戶端再應(yīng)答】三個(gè)階段，美國(guó)高防服務(wù)器最常用到的Web瀏覽、文件下載、收發(fā)郵件等都要經(jīng)過這三個(gè)階段。這反映出數(shù)據(jù)包并不是獨(dú)立的，而是前后之間有著密切的狀態(tài)聯(lián)系，基于這種狀態(tài)變化，引出了狀態(tài)檢測(cè)技術(shù)。

狀態(tài)檢測(cè)防火墻摒棄了美國(guó)高防服務(wù)器包過濾防火墻僅考查數(shù)據(jù)包的IP地址等幾個(gè)參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的會(huì)話，利用狀態(tài)表跟蹤每一個(gè)會(huì)話狀態(tài)。狀態(tài)監(jiān)測(cè)對(duì)每個(gè)包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會(huì)話所處的狀態(tài)，因此提供了完整的對(duì)傳輸層的控制能力。

美國(guó)高防服務(wù)器網(wǎng)關(guān)防火墻的一個(gè)挑戰(zhàn)就是能處理的流量，狀態(tài)檢測(cè)技術(shù)在大大提高安全防范能力的同時(shí)也改進(jìn)了流量處理速度。狀態(tài)檢技術(shù)采用了ー系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，能應(yīng)用在各類網(wǎng)絡(luò)環(huán)境中，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。

以上就是美國(guó)高防服務(wù)器的防火墻技術(shù)介紹，希望能幫助美國(guó)高防服務(wù)器用戶們更好地了解防火墻的相關(guān)內(nèi)容。