應用層分組過濾防火牆

㈠ 應用層防火牆一般採用的是什麼技術

我們平時接觸的防火牆是主要是對OSI三層及以下的防護，而應用層防火牆顧名思義可以對7層進行一個防護。傳統的防火牆一般是靜態的，針對特定的埠，特定的地址設定策略。而應用層防火牆，你可以把它理解為動態的，是基於應用層協議的檢測和阻斷，其原理應該是對網路中的流量進行抓包，將流量提取出來進行協議還原，模式匹配等等技術。功能接近於和IPS（入侵保護系統）。

應用層網關（Application level gateway），也叫做應用層防火牆或應用層代理防火牆，通常用於描述第三代防火牆。當一個用戶在這個可信賴的網路希望連接到在不被信賴的網路的服務例如網際網路，這個應用專注於在防火牆上的代理伺服器。這個代理伺服器有效地偽裝成在網際網路上的真實伺服器。它評估請求和決定允許或拒絕基於一系列被個人網路服務管理規則的請求。
應用層防火牆
在現代的計算環境中，應用層防火牆日益顯示出其可以減少攻擊面的強大威力。
最初的網路安全不過是使用支持訪問列表的路由器來擔任。對簡單的網路而言，僅使用訪問控制列表和一些基本的過濾功能來管理一個網路對於未授權的用戶而言已經足夠。因為路由器位於每個網路的中心，而且這些設備還被用於轉發與廣域網的通信。
但路由器僅能工作在網路層，其過濾方式多少年來並沒有根本性的變化。製造路由器的公司也為增強安全性在這一層上也是下足了工夫。更明確地講，所有的安全措施只不過存在於路由器所在的網路層而已。
第三代防火牆稱為應用層防火牆或代理伺服器防火牆，這種防火牆在兩種方向上都有「代理伺服器」的能力，這樣它就可以保護主體和客體，防止其直接聯系。代理伺服器可以在其中進行協調，這樣它就可以過濾和管理訪問，也可以管理主體和客體發出和接收的內容。這種方法可以通過以各種方式集成到現有目錄而實現，如用戶和用戶組訪問的LDAP。
應用層防火牆還能夠仿效暴露在互聯網上的伺服器，因此正在訪問的用戶就可以擁有一種更加快速而安全的連接體驗。事實上，在用戶訪問公開的伺服器時，他所訪問的其實是第七層防火牆所開放的埠，其請求得以解析，並通過防火牆的規則庫進行處理。一旦此請求通過了規則庫的檢查並與不同的規則相匹配，就會被傳遞給伺服器。這種連接在是超高速緩存中完成的，因此可以極大地改善性能和連接的安全性。
而在OSI模型中，第五層是會話層，第七層是應用層。應用層之上的層為第八層，它在典型情況下就是保存用戶和策略的層次。

㈡ 防火牆實現分組過濾時,可以依據的欄位包括什麼

你說的是操作系統中的防火牆，還是網路設備中的防火牆。
我只說說操作系統中，Linux的防火牆回，其中答Redhat中，用firewall-config命令。它是firewalld防火牆配置管理工具的GUI（圖形用戶界面）版本，幾乎可以實現所有以命令行來執行的操作。具體介紹可以看《Linux就該這么學》第8章節 回答不完美請見諒

㈢ 選擇應用層防火牆時需要考慮哪些因素

首先，它真的是一個應用層防火牆還是一種深度包檢測器?區別二者很重要。為了與PCI保持一致，它必須要是一個真正的應用層防火牆，而不是一個冒名頂替者。 一個真正的應用層防火牆能檢測來自應用程序的惡意代碼，如SQL注入或者跨站腳本攻擊(XSS)等。當然，這是需要深度包檢測的，但深度包檢測僅查找流量中的惡意軟體和間諜軟體之類的攻擊，而無法檢測到通過應用程序發送的惡意代碼。 傳統的網路防火牆只是檢測包的標題，而深度包檢測則可以檢測包的內部及其內容。雖然這絕對可以增強防火牆的能力，但卻不能用來防止攻擊，它仍然存在一定的局限性。 另一種常見的誤解是將應用層防火牆與Web安全網關，內容過濾產品混為一談。不要因為安裝了一個應用層防火牆，就把Web安全網關產品關閉了。它們是不同的產品!內容過濾產品可以阻止一些不合適的網站，或者基於Web的電子郵件，因為這些都可能包含惡意軟體。 盡管Web安全網關、內容過濾產品和應用層防火牆已經開始慢慢融合為統一的工具了，這個發展是自然而然的，因為許多威脅也已經結合起來了需要多層防禦。例如，內容過濾器可能會也可能不會阻止惡意站點，但應用層防火牆會阻止它所攜帶的惡意代碼。 應用層防火牆的第二個特徵是其與身份和訪問管理系統的結合能力。它可以使防火牆通過調整來允許員工訪問特定的Web應用程序，但不允許公司其他任何人訪問。一些員工可能需要訪問基於Web的電子郵件或WebEx，來進行工作。如果防火牆與公司的諸如Active Directory或者LDAP之類的目錄服務結合起來的話，這是可以調整的。可以將訪問應用程序添加到員工的配置里。 應用層防火牆本身，與其相對的網路防火牆一樣，也應該有角色訪問，僅允許授權的管理員訪問，並進行維護和更新。 第三個關鍵的因素是其與公司網路的兼容性。應用層防火牆可能是另一種會拖延網路的設備。如果配置不合理，或與公司構架不兼容，它就會導致運行問題。 一般說來，應用層防火牆與網路防火牆同時運行，通常是在網路內部的網路防火牆之後。輸入流量首先是通過網路防火牆，然後再通過應用層防火牆。在考慮完全安裝一個產品之前，要經常核查防火牆的吞吐量，並且在你的運行環境中對其進行徹底的負載測試。在配置產品之前，任何速度變慢、瓶頸、或者性能問題都應當解決。 最後，就像網路防火牆一樣，應用層防火牆應當有能力將流量記入日誌。除了是一種安全最佳方式以外，追蹤事件也很必要，在一些情況下，法規遵從可能需要這個功能。記錄日誌是否有能力追蹤事件並對不合適的訪問出具報告?PCI在網路監測方面的要求是非常嚴格的。這是應用層防火牆功能的核心部分。

㈣ 說明分組過濾防火牆的基本原理

防火牆技術可根據防範的方式和側重點的不同而分為很多種類型，但總體來講可分為二大類：分組過濾、應用代理!----分組過濾（Packet filtering）：作用在網路層和傳輸層，它根據分組包頭源地址，目的地址和埠號、協議類型等標志確定是否允許數據包通過。只有滿足過濾邏輯的數據包才被轉發到相應的目的地出口端，其餘數據包則被從數據流中丟棄。
------應用代理型防火牆是內部網與外部網的隔離點，起著監視和隔絕應用層通信流的作 用。同時也常結合入過濾器的功能。它工作在OSI模型的最高層，掌握著應用系統中可用作安全決策的全部信息。--
-- --應用代理（Application Proxy）：也叫應用網關（Application Gateway）,它作用在應用層，其特點是完全阻隔了網路通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。實際中的應用網關通常由專用工作站實現!---分組過濾的優點是不用改動客戶機和主機上的應用程序，因為它工作在網路層和傳輸層，與應用層無關。但其弱點也是明顯的：據以過濾判別的只有網路層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規則的數目是有限制的，且隨著規則數目的增加，性能會受到很大地影響；由於缺少上下文關聯信息，不能有效地過濾如UDP、RPC一類的協議；另外，大多數過濾器中缺少審計和報警機制，且管理方式和用戶界面較差；對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火牆系統.

㈤ 什麼是應用層防火牆，及應用層防火牆適用情況

我們平時接觸的防火牆是主要是對OSI三層及以下的防護，而應用層防火牆顧名思義可以對7層進行一個防護。傳統的防火牆一般是靜態的，針對特定的埠，特定的地址設定策略。而應用層防火牆，你可以把它理解為動態的，是基於應用層協議的檢測和阻斷，其原理應該是對網路中的流量進行抓包，將流量提取出來進行協議還原，模式匹配等等技術。功能接近於和IPS（入侵保護系統）。

㈥ 應用層防火牆的選擇並配置應用層防火牆

在考慮應用層防火牆時，每個用戶應該注意四個因素。我們來分別看一下這些因素，以及現在市場上的一些應用層防火牆。
首先，它真的是應用層防火牆嗎？或者僅僅是一種深度信息包檢測器？該區別很重要。為了與PCI一致，它必須是一個真正的應用層防火牆，而不是一個冒名頂替的工具。
一個真正的應用層防火牆可以檢測應用程序的信息流，以防諸如SQL注入或者跨站腳本攻擊（XSS）之類的惡意代碼。當然，這就要求深度信息包檢測，但是深度信息包檢測僅僅查找信息流中諸如惡意軟體和間諜軟體之類的攻擊，而無法檢測到通過應用程序發送的惡意代碼。
傳統的網路防火牆僅僅可以檢測packet headers，與之不同的是，深度信息包檢測可以檢測信息包內部及其內容。這雖然絕對可以增強防火牆的能力，但並不能算作一種防止攻擊的防禦，它仍然有一些局限性。
另一種常見的誤解是將應用層防火牆與網路安全網關和內容過濾產品混為一談。不要因為安裝了一個應用層防火牆，就關閉你的Blue Coat、Vontu或者Vericept系統。這兩種產品進行不同的工作。內容過濾產品可以阻止不合適的網站，或者基於Web的電子郵件，這些都可能包含惡意軟體。但是同樣地，它們不能捕獲網路應用攻擊，有時這僅僅是網站內容的一部分。雖然這兩種產品都可以使用URL過濾，但是，應用層防火牆可以在URL中查找惡意代碼：比如XSS攻擊中使用的JavaScript；而內容過濾器僅僅在網路地址本身中查找。
盡管如此，網路安全網關、內容過濾產品和應用層防火牆已經慢慢地融合為統一的工具。該發展是自然而然的，因為許多威脅也已經結合起來並且現在需要多層防禦。比如，雖然該內容過濾器可能會也可能不會阻止惡意站點，但是應用層防火牆會阻止它所攜帶的惡意代碼。

㈦ 防火牆的包過濾型是基於應用層的防火牆為什麼錯

包過濾防火牆工作在OSI網路參考模型的網路層和傳輸層，去查一下它的工作原理就知道了。

㈧ 包過濾防火牆 狀態防火牆 應用網關防火牆 分別工作在幾層 急 求指教 謝謝 感激不盡

應用層 --------應用網關防火牆
表示層
會話層
傳輸層 ---------狀態監測防火牆
網路層 ---------包過濾防火牆、狀態監測防火牆
數據鏈路層
物理層

㈨ 靜態包過濾防火牆、動態（狀態檢測）包過濾防火牆、應用層（代理）防火牆這三類防火牆適用情況

//ok，我改 //包過濾的防火牆最簡單，你可以指定讓某個IP或某個埠或某個網段的數據包通過[或不通過]，它不支持應用層的過濾，不支持數據包內容的過濾。 //狀態防火牆更復雜一點，按照TCP基於狀態的特點，在防火牆上記錄各個連接的狀態，這可以彌補包過濾防火牆的缺點，比如你允許了ip為1.1.1.1的數據包通過防火牆，但是惡意的人偽造ip的話，沒有通過tcp的三次握手也可以闖過包過濾防火牆。 //應用代理網關防火牆徹底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火牆對外網的訪問，然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發，訪問者任何時候都不能與伺服器建立直接的 TCP 連接，應用層的協議會話過程必須符合代理的安全策略要求。 應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵，對數據包的檢測能力比較強。 // 一、當前防火牆技術分類 防火牆技術經歷了包過濾、應用代理網關、再到狀態檢測三個階段。 1.1 包過濾技術 包過濾防火牆工作在網路層，對數據包的源及目地 IP 具有識別和控製作用，對於傳輸層，也只能識別數據包是 TCP 還是 UDP 及所用的埠信息，如下圖所示。現在的路由器、 Switch Router 以及某些操作系統已經具有用 Packet Filter 控制的能力。 由於只對數據包的 IP 地址、 TCP/UDP 協議和埠進行分析，包過濾防火牆的處理速度較快，並且易於配置。 包過濾防火牆具有根本的缺陷： 1 ．不能防範黑客攻擊。包過濾防火牆的工作基於一個前提，就是網管知道哪些 IP 是可信網路，哪些是不可信網路的 IP 地址。但是隨著遠程辦公等新應用的出現，網管不可能區分出可信網路與不可信網路的界限，對於黑客來說，只需將源 IP 包改成合法 IP 即可輕鬆通過包過濾防火牆，進入內網，而任何一個初級水平的黑客都能進行 IP 地址欺騙。 2 ．不支持應用層協議。假如內網用戶提出這樣一個需求，只允許內網員工訪問外網的網頁（使用 HTTP 協議），不允許去外網下載電影（一般使用 FTP 協議）。包過濾防火牆無能為力，因為它不認識數據包中的應用層協議，訪問控制粒度太粗糙。 3 ．不能處理新的安全威脅。它不能跟蹤 TCP 狀態，所以對 TCP 層的控制有漏洞。如當它配置了僅允許從內到外的 TCP 訪問時，一些以 TCP 應答包的形式從外部對內網進行的攻擊仍可以穿透防火牆。 綜上可見，包過濾防火牆技術面太過初級，就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他（她）進入一樣，難以履行保護內網安全的職責。 1.2 應用代理網關技術 應用代理網關防火牆徹底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火牆對外網的訪問，然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發，訪問者任何時候都不能與伺服器建立直接的 TCP 連接，應用層的協議會話過程必須符合代理的安全策略要求。 應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵，對數據包的檢測能力比較強。 缺點也非常突出，主要有： · 難於配置。由於每個應用都要求單獨的代理進程，這就要求網管能理解每項應用協議的弱點，並能合理的配置安全策略，由於配置繁瑣，難於理解，容易出現配置失誤，最終影響內網的安全防範能力。 · 處理速度非常慢。斷掉所有的連接，由防火牆重新建立連接，理論上可以使應用代理防火牆具有極高的安全性。但是實際應用中並不可行，因為對於內網的每個 Web 訪問請求，應用代理都需要開一個單獨的代理進程，它要保護內網的 Web 伺服器、資料庫伺服器、文件伺服器、郵件伺服器，及業務程序等，就需要建立一個個的服務代理，以處理客戶端的訪問請求。這樣，應用代理的處理延遲會很大，內網用戶的正常 Web 訪問不能及時得到響應。 總之，應用代理防火牆不能支持大規模的並發連接，在對速度敏感的行業使用這類防火牆時簡直是災難。另外，防火牆核心要求預先內置一些已知應用程序的代理，使得一些新出現的應用在代理防火牆內被無情地阻斷，不能很好地支持新應用。 在 IT 領域中，新應用、新技術、新協議層出不窮，代理防火牆很難適應這種局面。因此，在一些重要的領域和行業的核心業