分组过滤型防火墙还有一个明显的优点就是不需要去改变主机与客户机上相应的应用程序,因为该防火墙主要是工作在传输层上和网络层上的,所以具体和应用层并没有一点联系。相反的,该防火墙也存在着众多的明显缺点:比如,能够依据过滤判断的有关信息仅仅停留在传输层上和网络层上的有限信息而已,因此它在安全防范方面还是存在缺陷的;并且该防火墙缺乏上下文的相互联系的有关信息,以致其不能够有效的过滤掉某些协议,诸如UDP、RPC一类的协议;而且在多数的过滤器中,它们其中有关过滤规则的数目由于是有限的,所以在实际使用情况中,伴随着有关过滤规则的数目越来越快地增加下去,其性能可能会大幅度的降低;除此之外,在许许多多的过滤器之中并没有设置相关的报警与审计功能,而且该防火墙的用户界面质量水平相对较低,相反的,它对于安全管理员的素质要求方面反而比较高,所以在构建相关安全规则时,这就要求管理员一定要对协议的类型和功能以及其在不同程序的具体作用有透彻了解。所以,一般过滤器常常与应用网关结合一起使用,来构成防火墙的系统。
2。1。2 应用级网关型防火墙
应用级网关指的是在网络应用层经过创建协议过滤与转发功能实现的。一般的,它可以针对指定的网络应用服务协议而使用相关的数据过滤逻辑规则,且在对数据包实行过滤同时,首先对数据包进行一定的分析处理,之后再进行相关记录,最后生成相应的报告。但是在实际生活中,该防火墙常常被安装于专门的工作站上面。
此类防火墙和之前提到的分组过滤型防火墙有一个相同的特征,那就是它们依据指定的逻辑或规则,以此才决定是否可以同意这个数据包通过防火墙。如果外部计算机满足了该防火墙的逻辑或规则,则此时两台计算机之间的系统就可以建立起联系了,因此,对于防火墙内部的运行情况和网络构造就会被防火墙外部的连接者所知道了,所以这样的结构不利于抵抗非法攻击和入侵。
2。1。3 代理服务型防火墙文献综述
代理服务也被称为TCP通道或者链路级网关。但是也有人认为它应该属于应用级网关。它是基于上面两种防火墙目前还存在的缺陷而被引进的一种新型防火墙技术,这种防火墙的特点是可以把一切通过它的网络通信链路变成两段,如果说外部和内部的计算机要进行应用层的链接的话,那么它们就可以由两个终止代理服务器上的相关链接来完成这个工作,并且防火墙外面的网络链路仅仅只可以抵达代理服务器而已,所以这个工作原理可以达到阻止外部计算机与内部计算机进行相互连接的效果。除此之外,代理服务也会对进出防火墙的数据包实行一定的分析处理,再进行相关记录,最后生成相应的报告。当系统发现自己被攻击的时候,则它会马上向管理员发出相应的警告信息,并且可以把相关的攻击痕迹保存下来。该防火墙总的来说就是外部和内部网络的一个重要分水岭,它承担着隔绝与监视应用层通信流的相关作用,而且它通常结合有关过滤器的功能配合一起使用。代理服务型防火墙其在OSI模型的顶层运行工作,把握着应用系统中可以用来作为安全判断的一切有关信息。
2。1。4 复合型防火墙
随着防火墙的迅速发展,计算机对于安全性的追求变得越来越大了,因此人们通常将数据包过滤和应用代理技术相互结合起来,所以产生了复合型防火墙系列的产品。一般来说,有如下两种方法:
(1)屏蔽主机防火墙体系结构。在这种结构中,分组过滤路由器或者防火墙和互联网相互连接,与此同时把一个堡垒机安装在内部网络中,我们可以通过设置路由器或者防火墙上的有关过滤规则,使堡垒机成为互联网上其他的节点所能抵达的唯一节点,从而保证内部网络的安全性。