美國高防服務(wù)器的防火墻是指強加于兩個網(wǎng)絡(luò)之間邊界處以保護內(nèi)部網(wǎng)絡(luò)內(nèi)外部網(wǎng)絡(luò)安全，而且美國高防服務(wù)器防火墻技術(shù)是作為保護計算機網(wǎng)絡(luò)安全的最常用技術(shù)之ー。防火墻技術(shù)經(jīng)歷了包過滅、應(yīng)用代理網(wǎng)關(guān)、狀態(tài)檢測幾個重要階段，下面美聯(lián)科技小編就簡要介紹一下其技術(shù)特點。

1、包過濾技術(shù)

包過濾防火墻工作在網(wǎng)絡(luò)層，對數(shù)據(jù)包的源及目的IP具有識別別和控制作用，對于傳輸層，也只能識別數(shù)據(jù)包是TCP還是UDP及所用的端口信息。現(xiàn)在的路由器、帶有路由功能的工具以及通用操作系統(tǒng)基本都具有包過源控制的能力。

包過濾防火墻的特點：

1.不支持應(yīng)用層協(xié)議

假如內(nèi)網(wǎng)用戶提出這樣一個需求，只允許內(nèi)網(wǎng)員工訪問外網(wǎng)的網(wǎng)頁，不允許去外網(wǎng)下載電影，這時包過濾防火墻因為它不認(rèn)識數(shù)據(jù)包中的應(yīng)用層協(xié)議，訪問控制力度太粗糙，所以無法實現(xiàn)。

2.不能處理新的安全威肋

包過濾防火墻不能跟蹤TCP狀態(tài)，所以對TCP層的控制有漏洞。如當(dāng)它配置了僅允許從內(nèi)到外的TCP訪問時，一些以TCP應(yīng)答包的形式從外部對內(nèi)網(wǎng)進(jìn)行的攻擊仍可以穿適防火墻。

2、應(yīng)用代理網(wǎng)關(guān)技術(shù)

應(yīng)用代理網(wǎng)關(guān)防火墻徹底隔斷內(nèi)網(wǎng)與外網(wǎng)的直接通信，內(nèi)網(wǎng)用戶對外網(wǎng)的訪可變成防火墻對外網(wǎng)的訪可，然后再由防火墻轉(zhuǎn)發(fā)給內(nèi)網(wǎng)用戶。所有通信都必須經(jīng)應(yīng)用層代理軟件轉(zhuǎn)發(fā)，訪問者任何時候都不能與服務(wù)噐建立直接的TCP連接，應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略要求。應(yīng)用代理網(wǎng)關(guān)具有可以檢查應(yīng)用層、傳輸層和網(wǎng)絡(luò)層的協(xié)議特征，對數(shù)據(jù)包的檢測能力比較強的優(yōu)點。

應(yīng)用代理網(wǎng)關(guān)防火墻的特點：

1.難以配置

由于每個應(yīng)用都要求單獨代理進(jìn)程，這就要求網(wǎng)管能理解每項應(yīng)用協(xié)議的弱點，并能合理配置安全策略，由于配置煩瑣，難以理解，容易出現(xiàn)配置失誤，最終影響內(nèi)網(wǎng)的安全防范能力。

2.處理速度非常慢

斷掉所有的連接，由防火墻重新建立連接，理論上可以使應(yīng)用代理防火墻具有極高的安全性，但是實際應(yīng)用中并不可行，因為對于內(nèi)網(wǎng)的每個Web訪可請求，應(yīng)用代理都需要開一個單獨的代理進(jìn)程，它要保護內(nèi)網(wǎng)的Web服務(wù)噐、數(shù)據(jù)庫服務(wù)噐、文件服務(wù)器、郵件服務(wù)器及業(yè)務(wù)程序等，就需要建立一個個的服務(wù)代理，以處理客戶端的訪問請求。這樣，應(yīng)用代理的處理延遲會很大內(nèi)網(wǎng)用戶的正常Web訪問不能及時得到響應(yīng)。

3、狀態(tài)檢測技術(shù)

Internet上傳輸?shù)臄?shù)據(jù)都必須遵循 TCP/IP協(xié)議，根據(jù)TCP協(xié)議，每個可靠連接的建立需要經(jīng)過【客戶端同步請求】、【服務(wù)器應(yīng)答】、【客戶端再應(yīng)答】三個階段，最常用到的Web瀏覽、文件下載、收發(fā)郵件等都要經(jīng)過這三個階段。這反映出數(shù)據(jù)包并不是獨立的，而是前后之間有著密切的狀態(tài)聯(lián)系，基于這種狀態(tài)變化，引出了狀態(tài)檢測技術(shù)。

狀態(tài)檢測防火墻摒棄了包過濾防火墻僅考查數(shù)據(jù)包的IP地址等幾個參數(shù)，而不關(guān)心數(shù)據(jù)包連接狀態(tài)變化的缺點，在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個個的會話，利用狀態(tài)表跟蹤每一個會話狀態(tài)。狀態(tài)監(jiān)測對每個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)，因此提供了完整的對傳輸層的控制能力。

網(wǎng)關(guān)防火墻的一個挑戰(zhàn)就是能處理的流量，狀態(tài)檢測技術(shù)在大大提高安全防范能力的同時也改進(jìn)了流量處理速度。狀態(tài)檢技術(shù)采用了ー系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，能應(yīng)用在各類網(wǎng)絡(luò)環(huán)境中，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。

以上就是美國高防服務(wù)器的防火墻技術(shù)介紹，需要了解更多詳細(xì)內(nèi)容的用戶，可以咨詢美聯(lián)科技在線客服。

關(guān)注美聯(lián)科技，了解更多IDC資訊！