美國高防服務(wù)器的防火墻是強加在網(wǎng)絡(luò )之間的邊界處，以保護內部網(wǎng)絡(luò )安全的存在，所以美國高防服務(wù)器配置防火墻是作為保護網(wǎng)絡(luò )安全最常用的措施之ー。而為了實(shí)現安全保護功能，美國高防服務(wù)器防火墻經(jīng)歷過(guò)包過(guò)滅、應用代理網(wǎng)關(guān)、狀態(tài)檢測幾個(gè)重要的技術(shù)階段，本文編就簡(jiǎn)單介紹一下美國高防服務(wù)器防火墻這些技術(shù)的特點(diǎn)。

1、包過(guò)濾技術(shù)

包過(guò)濾防火墻工作在美國高防服務(wù)器網(wǎng)絡(luò )層，對數據包的源及目的IP具有識別和控制作用，對于傳輸層也能識別數據包是TCP還是UDP及所用的端口信息?，F在的路由器、帶有路由功能的工具以及通用操作系統基本都具有包過(guò)源控制的能力。

包過(guò)濾防火墻的特點(diǎn)：

1）不支持應用層協(xié)議

假如美國高防服務(wù)器內網(wǎng)用戶(hù)提出這樣一個(gè)需求，只允許內網(wǎng)員工訪(fǎng)問(wèn)外網(wǎng)的網(wǎng)頁(yè)，不允許去外網(wǎng)下載電影，這時(shí)包過(guò)濾防火墻因為它不認識數據包中的應用層協(xié)議，訪(fǎng)問(wèn)控制力度太粗糙，所以無(wú)法實(shí)現。

2）不能處理新的安全威肋

包過(guò)濾防火墻不能跟蹤美國高防服務(wù)器TCP狀態(tài)，所以對TCP層的控制有漏洞。如當它配置了僅允許從內到外的TCP訪(fǎng)問(wèn)時(shí)，一些以TCP應答包的形式從外部對內網(wǎng)進(jìn)行的攻擊仍可以穿適防火墻。

2、應用代理網(wǎng)關(guān)技術(shù)

應用代理網(wǎng)關(guān)防火墻徹底隔斷美國高防服務(wù)器內網(wǎng)與外網(wǎng)的直接通信，內網(wǎng)用戶(hù)對外網(wǎng)的訪(fǎng)可變成防火墻對外網(wǎng)的訪(fǎng)可，然后再由防火墻轉發(fā)給內網(wǎng)用戶(hù)。美國高防服務(wù)器所有通信都必須經(jīng)應用層代理軟件轉發(fā)，訪(fǎng)問(wèn)者任何時(shí)候都不能與服務(wù)噐建立直接的TCP連接，應用層的協(xié)議會(huì )話(huà)過(guò)程必須符合代理的安全策略要求。應用代理網(wǎng)關(guān)具有可以檢查應用層、傳輸層和網(wǎng)絡(luò )層的協(xié)議特征，對數據包的檢測能力比較強的優(yōu)點(diǎn)。

應用代理網(wǎng)關(guān)防火墻的特點(diǎn)：

1.）難以配置

由于每個(gè)應用都要求單獨代理進(jìn)程，這就要求美國高防服務(wù)器網(wǎng)管能理解每項應用協(xié)議的弱點(diǎn)，并能合理配置安全策略，由于配置煩瑣，難以理解，容易出現配置失誤，最終影響內網(wǎng)的安全防范能力。

2）處理速度非常慢

斷掉美國高防服務(wù)器所有的連接，由防火墻重新建立連接，理論上可以使應用代理防火墻具有極高的安全性，但是實(shí)際應用中并不可行，因為對于內網(wǎng)的每個(gè)Web訪(fǎng)可請求，應用代理都需要開(kāi)一個(gè)單獨的代理進(jìn)程，它要保護內網(wǎng)的Web服務(wù)噐、數據庫服務(wù)噐、文件服務(wù)器、郵件服務(wù)器及業(yè)務(wù)程序等，就需要建立一個(gè)個(gè)的服務(wù)代理，以處理客戶(hù)端的訪(fǎng)問(wèn)請求。這樣應用代理的處理延遲會(huì )很大，而美國高防服務(wù)器內網(wǎng)用戶(hù)的正常Web訪(fǎng)問(wèn)不能及時(shí)得到響應。

3、狀態(tài)檢測技術(shù)

Internet上傳輸的數據都必須遵循 TCP/IP協(xié)議，根據TCP協(xié)議，每個(gè)可靠連接的建立需要經(jīng)過(guò)【客戶(hù)端同步請求】、【服務(wù)器應答】、【客戶(hù)端再應答】三個(gè)階段，美國高防服務(wù)器最常用到的Web瀏覽、文件下載、收發(fā)郵件等都要經(jīng)過(guò)這三個(gè)階段。這反映出數據包并不是獨立的，而是前后之間有著(zhù)密切的狀態(tài)聯(lián)系，基于這種狀態(tài)變化，引出了狀態(tài)檢測技術(shù)。

狀態(tài)檢測防火墻摒棄了美國高防服務(wù)器包過(guò)濾防火墻僅考查數據包的IP地址等幾個(gè)參數，而不關(guān)心數據包連接狀態(tài)變化的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，并將進(jìn)出網(wǎng)絡(luò )的數據當成一個(gè)個(gè)的會(huì )話(huà)，利用狀態(tài)表跟蹤每一個(gè)會(huì )話(huà)狀態(tài)。狀態(tài)監測對每個(gè)包的檢查不僅根據規則表，更考慮了數據包是否符合會(huì )話(huà)所處的狀態(tài)，因此提供了完整的對傳輸層的控制能力。

美國高防服務(wù)器網(wǎng)關(guān)防火墻的一個(gè)挑戰就是能處理的流量，狀態(tài)檢測技術(shù)在大大提高安全防范能力的同時(shí)也改進(jìn)了流量處理速度。狀態(tài)檢技術(shù)采用了ー系列優(yōu)化技術(shù)，使防火墻性能大幅度提升，能應用在各類(lèi)網(wǎng)絡(luò )環(huán)境中，尤其是在一些規則復雜的大型網(wǎng)絡(luò )上。

以上就是美國高防服務(wù)器的防火墻技術(shù)介紹，希望能幫助美國高防服務(wù)器用戶(hù)們更好地了解防火墻的相關(guān)內容。