什么是服務(wù)器防火墻？服務(wù)器防火墻是指設(shè)置在不同網(wǎng)絡(luò)(如可信內(nèi)網(wǎng)和不可信公網(wǎng))或網(wǎng)絡(luò)安全域之間的一系列組件的組合。它可以監(jiān)控、限制和改變跨防火墻的數(shù)據(jù)流，盡可能將網(wǎng)絡(luò)內(nèi)部的信息、結(jié)構(gòu)和運(yùn)行狀態(tài)與外部屏蔽開(kāi)來(lái)，從而實(shí)現(xiàn)網(wǎng)絡(luò)安全保護(hù)。從邏輯上來(lái)說(shuō)，服務(wù)器防火墻是一個(gè)分離器、限制器和分析器，它有效地監(jiān)控內(nèi)部網(wǎng)和互聯(lián)網(wǎng)之間的任何活動(dòng)，并確保內(nèi)部網(wǎng)絡(luò)的安全。服務(wù)器防火墻一般分為幾種類(lèi)型，如包過(guò)濾、應(yīng)用層網(wǎng)關(guān)和代理服務(wù)器。包括以下核心技術(shù):

1.包過(guò)濾技術(shù)

包過(guò)濾技術(shù)是一種簡(jiǎn)單有效的安全控制技術(shù)，工作在網(wǎng)絡(luò)層。通過(guò)在網(wǎng)絡(luò)之間相互連接的設(shè)備上加載允許和禁止某些源地址、目的地址和TCP端口號(hào)等規(guī)則，可以檢查通過(guò)設(shè)備的數(shù)據(jù)包，并限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過(guò)濾最大的優(yōu)點(diǎn)是對(duì)用戶透明，傳輸性能高。但由于安全控制級(jí)別在網(wǎng)絡(luò)層和傳輸層，安全控制強(qiáng)度僅限于源地址、目的地址和端口號(hào)，只能進(jìn)行相對(duì)初步的安全控制，對(duì)于惡意擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高級(jí)攻擊手段無(wú)能為力。

2.應(yīng)用代理技術(shù)

應(yīng)用代理服務(wù)器防火墻工作在OSI的第七層，通過(guò)檢查所有應(yīng)用層數(shù)據(jù)包，并將檢查的內(nèi)容信息放入決策過(guò)程，提高了網(wǎng)絡(luò)的安全性。應(yīng)用網(wǎng)關(guān)服務(wù)器防火墻是通過(guò)打破客戶機(jī)/服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)/服務(wù)器通信需要兩個(gè)連接:一個(gè)從客戶機(jī)到服務(wù)器防火墻，另一個(gè)從防火墻到服務(wù)器。此外，每個(gè)代理需要一個(gè)不同的應(yīng)用程序進(jìn)程或一個(gè)在后臺(tái)運(yùn)行的服務(wù)程序，并且必須將該應(yīng)用程序的服務(wù)程序添加到每個(gè)新的應(yīng)用程序中，否則無(wú)法使用該服務(wù)。因此，應(yīng)用網(wǎng)關(guān)服務(wù)器防火墻具有可擴(kuò)展性差的缺點(diǎn)。

3.狀態(tài)檢測(cè)技術(shù)

狀態(tài)檢測(cè)服務(wù)器防火墻工作在OSI的第二至第四層，采用狀態(tài)檢測(cè)包過(guò)濾技術(shù)，是傳統(tǒng)包過(guò)濾功能的擴(kuò)展。狀態(tài)檢測(cè)服務(wù)器防火墻在網(wǎng)絡(luò)層有一個(gè)檢測(cè)引擎，用于攔截?cái)?shù)據(jù)包，提取與應(yīng)用層狀態(tài)相關(guān)的信息，然后根據(jù)這些信息決定是接受還是拒絕連接。這項(xiàng)技術(shù)提供了一個(gè)高度安全的解決方案，具有良好的適應(yīng)性和可擴(kuò)展性。通常，狀態(tài)檢測(cè)服務(wù)器防火墻還包括一些代理級(jí)服務(wù)，它們?yōu)樘囟ǖ膽?yīng)用程序數(shù)據(jù)內(nèi)容提供額外的支持。狀態(tài)檢測(cè)服務(wù)器防火墻基本保留了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能更好，對(duì)應(yīng)用透明，并在此基礎(chǔ)上大大提高了安全性。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻的缺點(diǎn)，只檢查進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)。它在防火墻核心部分建立狀態(tài)連接表，維護(hù)連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)作為事件處理。主要特點(diǎn)是由于缺乏對(duì)應(yīng)用層協(xié)議的深入檢測(cè)，無(wú)法徹底識(shí)別數(shù)據(jù)包中的大量垃圾郵件、廣告和木馬。

4.完整的內(nèi)容檢測(cè)技術(shù)

完整的內(nèi)容檢測(cè)技術(shù)服務(wù)器防火墻集成了狀態(tài)檢測(cè)和應(yīng)用代理技術(shù)，在多層檢測(cè)架構(gòu)的基礎(chǔ)上進(jìn)一步將防病毒、內(nèi)容過(guò)濾、應(yīng)用識(shí)別等功能集成到防火墻中，包括IPS功能，集成多個(gè)單元，在網(wǎng)絡(luò)接口掃描應(yīng)用層，將防病毒、內(nèi)容過(guò)濾和服務(wù)器防火墻結(jié)合起來(lái)，體現(xiàn)了網(wǎng)絡(luò)和信息安全的新理念(因此也被稱為“下一代防火墻技術(shù)”)。在網(wǎng)絡(luò)邊界實(shí)現(xiàn)OSI第7層內(nèi)容掃描，在網(wǎng)絡(luò)邊緣實(shí)現(xiàn)病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施的實(shí)時(shí)部署。完整的內(nèi)容檢測(cè)技術(shù)服務(wù)器防火墻可以檢查整個(gè)數(shù)據(jù)包內(nèi)容，根據(jù)需要建立連接狀態(tài)表，具有網(wǎng)絡(luò)層保護(hù)強(qiáng)、應(yīng)用層控制精細(xì)等優(yōu)點(diǎn)。但是由于功能集成度高，對(duì)產(chǎn)品硬件的要求也比較高。有不懂的請(qǐng)咨詢夢(mèng)飛云idc了解。