防火墻的基本準(zhǔn)則:

    1、一切未被允許的就是禁止的，

防火墻的基本準(zhǔn)則

。基于該準(zhǔn)則，防火墻應(yīng)封鎖所有信息流，然后對(duì)希望提

    供的服務(wù)逐項(xiàng)開放。這是一種非常實(shí)用的方法，可以造成一種十分安全的環(huán)境，因?yàn)橹挥薪?jīng)

    過仔細(xì)挑選的服務(wù)才被允許使用。其弊端是，安全性高于用戶使用的方便性，用戶所能使用

    的服務(wù)范圍受到限制。

    2、一切未被禁止的就是允許的�；�于該準(zhǔn)則，防火墻就轉(zhuǎn)發(fā)所有信息流，然后逐項(xiàng)屏

    蔽可能有害的服務(wù)。這種方法構(gòu)成了一種更為靈活的應(yīng)用環(huán)境，可為用戶提供更多的服務(wù)。

    其弊端是，在日益增多的網(wǎng)絡(luò)服務(wù)面前，網(wǎng)管人員疲于奔命，特別是受保護(hù)的網(wǎng)絡(luò)范圍增大

    時(shí)，很難提供可靠的安全防護(hù)。 防火墻的基本類型有：

    （1）包過濾型（Packet Filter）：包過濾通常安裝在路由器上，并且大多數(shù)商用路

    由器都提供了包過濾的功能。另外，PC機(jī)上同樣可以安裝包過濾軟件。包過濾規(guī)則以IP包信

    息為基礎(chǔ)，對(duì)IP源地址、IP目標(biāo)地址、封裝協(xié)議（TCP/UDP/ICMP/IP Tunnel）、端口號(hào)等

    進(jìn)行篩選。包過濾在OSI協(xié)議網(wǎng)絡(luò)層進(jìn)行。

    （2）、代理服務(wù)型（Proxy Sservice）：代理服務(wù)型防火墻通常由兩部分構(gòu)成，服務(wù)

    器端程序和客戶端程序，

電腦資料

《防火墻的基本準(zhǔn)則》(http://m.oriental01.com)。客戶端程序與中間節(jié)點(diǎn)（Proxy Server）連接，中間節(jié)點(diǎn)再與要訪

    問的外部服務(wù)器實(shí)際連接。與包過濾防火墻不同的是,內(nèi)部網(wǎng)與外部網(wǎng)之間不存在直接的連

    接，同時(shí)提供日志（Log）及審計(jì)（Audit）服務(wù) 。

    （3）、復(fù)合型（Hybrid）防火墻：把包過濾和代理服用兩種方法結(jié)合起來，可以形成

    新的防火墻，所用主機(jī)稱為堡壘主機(jī)（Bastion Host），負(fù)責(zé)提供代理服務(wù)。

    （4）、 其他防火墻：路由器和各種主機(jī)按其配置和功能可組成各種類型的防火墻。

    雙宿主主機(jī)防火墻（Dual-Homed Host Firewall）。堡壘主機(jī)充當(dāng)網(wǎng)關(guān)，并在其上運(yùn)

    行防火墻軟件。內(nèi)部網(wǎng)與外部網(wǎng)之間不能直接進(jìn)行通信，必須經(jīng)過堡壘主機(jī)。

    主機(jī)過濾防火墻(Screened Host Firewall)。一個(gè)包過濾路由器與外部網(wǎng)相連，同時(shí)，

    一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上，使堡壘主機(jī)成為外部網(wǎng)所能到達(dá)的唯一節(jié)點(diǎn)，確保內(nèi)部網(wǎng)不

    受外部非授權(quán)用戶的攻擊。

    加密路由器(Encrypting Router)。加密路由器對(duì)通過路由器的信息流進(jìn)行加密和壓

    縮，然后通過外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M(jìn)行解壓縮和解密。