试述防火墙的分类及它们分别在安全性或效率上有何特别的优点。
答:目前防火墙的控制技术大概可分为:包过滤型(Packet Filter),包检验型(Statefulnspection Packet Filter)以及应用层网关型(Application Gateway)三种。
这三种技术分别在安全性或效率上有其特别的优点。
(1)包过滤型。包过滤型的控制方式会检查所有进岀防火墙的包标头内容,如来源及目的地,使用协定,TCP或UDP的Port等信息。现在的路由器、交换式路由器以及某些操作系统已经具有用包过滤控制的能力。包过滤型的控制方式最大的好处是效率最高,但却有几个严重缺点:管理复杂、无法对连线作完全的控制、规则设置的先后顺序会严重影响结果、不易维护以及记录功能少。
(2)包检验型。包检验型的控制机制是通过一个检验模组对包中的各个层次作检验。包检验型可谓是包过滤型的加强版,目的在增加包过滤型的安全性,增加控制“连线”的能力。但由于包检验的主要检查对象仍是个别的包,不同的包检验方式可能会产生极大的差异。其检查层面越广越安全,但其相对效率也越低。包检验型防火墙在检查不完全的情况下,可能会造成原来以为只有特定的服务可以通过,通过精心设计的数据包,可在到达目的地时因重组而被转变成原来并不允许通过的连线请求。这个为了增加效率的设计反而成了安全弱点。
(3)应用层网关型。应用层网关型的防火墙采用将连线动作拦截,由一个特殊的代理程序来处理两端间的连线的方式,并分析其连线内容是否符合应用协定的标准。这种方式的控制机制可以从头到尾有效地控制整个连线的动作,而不会被客户或服务器端欺骗,在管理上也不会像包过滤型那么复杂,但可能必须针对每一种应用写一个专属的代理程序,或用一个一般用途的代理程序来处理大部分连线。这种运作方式是最安全的方式,但也是效率最低的一种方式。
