应用层分组过滤防火墙

㈠ 应用层防火墙一般采用的是什么技术

我们平时接触的防火墙是主要是对OSI三层及以下的防护，而应用层防火墙顾名思义可以对7层进行一个防护。传统的防火墙一般是静态的，针对特定的端口，特定的地址设定策略。而应用层防火墙，你可以把它理解为动态的，是基于应用层协议的检测和阻断，其原理应该是对网络中的流量进行抓包，将流量提取出来进行协议还原，模式匹配等等技术。功能接近于和IPS（入侵保护系统）。

应用层网关（Application level gateway），也叫做应用层防火墙或应用层代理防火墙，通常用于描述第三代防火墙。当一个用户在这个可信赖的网络希望连接到在不被信赖的网络的服务例如因特网，这个应用专注于在防火墙上的代理服务器。这个代理服务器有效地伪装成在因特网上的真实服务器。它评估请求和决定允许或拒绝基于一系列被个人网络服务管理规则的请求。
应用层防火墙
在现代的计算环境中，应用层防火墙日益显示出其可以减少攻击面的强大威力。
最初的网络安全不过是使用支持访问列表的路由器来担任。对简单的网络而言，仅使用访问控制列表和一些基本的过滤功能来管理一个网络对于未授权的用户而言已经足够。因为路由器位于每个网络的中心，而且这些设备还被用于转发与广域网的通信。
但路由器仅能工作在网络层，其过滤方式多少年来并没有根本性的变化。制造路由器的公司也为增强安全性在这一层上也是下足了工夫。更明确地讲，所有的安全措施只不过存在于路由器所在的网络层而已。
第三代防火墙称为应用层防火墙或代理服务器防火墙，这种防火墙在两种方向上都有“代理服务器”的能力，这样它就可以保护主体和客体，防止其直接联系。代理服务器可以在其中进行协调，这样它就可以过滤和管理访问，也可以管理主体和客体发出和接收的内容。这种方法可以通过以各种方式集成到现有目录而实现，如用户和用户组访问的LDAP。
应用层防火墙还能够仿效暴露在互联网上的服务器，因此正在访问的用户就可以拥有一种更加快速而安全的连接体验。事实上，在用户访问公开的服务器时，他所访问的其实是第七层防火墙所开放的端口，其请求得以解析，并通过防火墙的规则库进行处理。一旦此请求通过了规则库的检查并与不同的规则相匹配，就会被传递给服务器。这种连接在是超高速缓存中完成的，因此可以极大地改善性能和连接的安全性。
而在OSI模型中，第五层是会话层，第七层是应用层。应用层之上的层为第八层，它在典型情况下就是保存用户和策略的层次。

㈡ 防火墙实现分组过滤时,可以依据的字段包括什么

你说的是操作系统中的防火墙，还是网络设备中的防火墙。
我只说说操作系统中，Linux的防火墙回，其中答Redhat中，用firewall-config命令。它是firewalld防火墙配置管理工具的GUI（图形用户界面）版本，几乎可以实现所有以命令行来执行的操作。具体介绍可以看《Linux就该这么学》第8章节 回答不完美请见谅

㈢ 选择应用层防火墙时需要考虑哪些因素

首先，它真的是一个应用层防火墙还是一种深度包检测器?区别二者很重要。为了与PCI保持一致，它必须要是一个真正的应用层防火墙，而不是一个冒名顶替者。 一个真正的应用层防火墙能检测来自应用程序的恶意代码，如SQL注入或者跨站脚本攻击(XSS)等。当然，这是需要深度包检测的，但深度包检测仅查找流量中的恶意软件和间谍软件之类的攻击，而无法检测到通过应用程序发送的恶意代码。 传统的网络防火墙只是检测包的标题，而深度包检测则可以检测包的内部及其内容。虽然这绝对可以增强防火墙的能力，但却不能用来防止攻击，它仍然存在一定的局限性。 另一种常见的误解是将应用层防火墙与Web安全网关，内容过滤产品混为一谈。不要因为安装了一个应用层防火墙，就把Web安全网关产品关闭了。它们是不同的产品!内容过滤产品可以阻止一些不合适的网站，或者基于Web的电子邮件，因为这些都可能包含恶意软件。 尽管Web安全网关、内容过滤产品和应用层防火墙已经开始慢慢融合为统一的工具了，这个发展是自然而然的，因为许多威胁也已经结合起来了需要多层防御。例如，内容过滤器可能会也可能不会阻止恶意站点，但应用层防火墙会阻止它所携带的恶意代码。 应用层防火墙的第二个特征是其与身份和访问管理系统的结合能力。它可以使防火墙通过调整来允许员工访问特定的Web应用程序，但不允许公司其他任何人访问。一些员工可能需要访问基于Web的电子邮件或WebEx，来进行工作。如果防火墙与公司的诸如Active Directory或者LDAP之类的目录服务结合起来的话，这是可以调整的。可以将访问应用程序添加到员工的配置里。 应用层防火墙本身，与其相对的网络防火墙一样，也应该有角色访问，仅允许授权的管理员访问，并进行维护和更新。 第三个关键的因素是其与公司网络的兼容性。应用层防火墙可能是另一种会拖延网络的设备。如果配置不合理，或与公司构架不兼容，它就会导致运行问题。 一般说来，应用层防火墙与网络防火墙同时运行，通常是在网络内部的网络防火墙之后。输入流量首先是通过网络防火墙，然后再通过应用层防火墙。在考虑完全安装一个产品之前，要经常核查防火墙的吞吐量，并且在你的运行环境中对其进行彻底的负载测试。在配置产品之前，任何速度变慢、瓶颈、或者性能问题都应当解决。 最后，就像网络防火墙一样，应用层防火墙应当有能力将流量记入日志。除了是一种安全最佳方式以外，追踪事件也很必要，在一些情况下，法规遵从可能需要这个功能。记录日志是否有能力追踪事件并对不合适的访问出具报告?PCI在网络监测方面的要求是非常严格的。这是应用层防火墙功能的核心部分。

㈣ 说明分组过滤防火墙的基本原理

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为二大类：分组过滤、应用代理!----分组过滤（Packet filtering）：作用在网络层和传输层，它根据分组包头源地址，目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端，其余数据包则被从数据流中丢弃。
------应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信流的作 用。同时也常结合入过滤器的功能。它工作在OSI模型的最高层，掌握着应用系统中可用作安全决策的全部信息。--
-- --应用代理（Application Proxy）：也叫应用网关（Application Gateway）,它作用在应用层，其特点是完全阻隔了网络通信流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现!---分组过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统.

㈤ 什么是应用层防火墙，及应用层防火墙适用情况

我们平时接触的防火墙是主要是对OSI三层及以下的防护，而应用层防火墙顾名思义可以对7层进行一个防护。传统的防火墙一般是静态的，针对特定的端口，特定的地址设定策略。而应用层防火墙，你可以把它理解为动态的，是基于应用层协议的检测和阻断，其原理应该是对网络中的流量进行抓包，将流量提取出来进行协议还原，模式匹配等等技术。功能接近于和IPS（入侵保护系统）。

㈥ 应用层防火墙的选择并配置应用层防火墙

在考虑应用层防火墙时，每个用户应该注意四个因素。我们来分别看一下这些因素，以及现在市场上的一些应用层防火墙。
首先，它真的是应用层防火墙吗？或者仅仅是一种深度信息包检测器？该区别很重要。为了与PCI一致，它必须是一个真正的应用层防火墙，而不是一个冒名顶替的工具。
一个真正的应用层防火墙可以检测应用程序的信息流，以防诸如SQL注入或者跨站脚本攻击（XSS）之类的恶意代码。当然，这就要求深度信息包检测，但是深度信息包检测仅仅查找信息流中诸如恶意软件和间谍软件之类的攻击，而无法检测到通过应用程序发送的恶意代码。
传统的网络防火墙仅仅可以检测packet headers，与之不同的是，深度信息包检测可以检测信息包内部及其内容。这虽然绝对可以增强防火墙的能力，但并不能算作一种防止攻击的防御，它仍然有一些局限性。
另一种常见的误解是将应用层防火墙与网络安全网关和内容过滤产品混为一谈。不要因为安装了一个应用层防火墙，就关闭你的Blue Coat、Vontu或者Vericept系统。这两种产品进行不同的工作。内容过滤产品可以阻止不合适的网站，或者基于Web的电子邮件，这些都可能包含恶意软件。但是同样地，它们不能捕获网络应用攻击，有时这仅仅是网站内容的一部分。虽然这两种产品都可以使用URL过滤，但是，应用层防火墙可以在URL中查找恶意代码：比如XSS攻击中使用的JavaScript；而内容过滤器仅仅在网络地址本身中查找。
尽管如此，网络安全网关、内容过滤产品和应用层防火墙已经慢慢地融合为统一的工具。该发展是自然而然的，因为许多威胁也已经结合起来并且现在需要多层防御。比如，虽然该内容过滤器可能会也可能不会阻止恶意站点，但是应用层防火墙会阻止它所携带的恶意代码。

㈦ 防火墙的包过滤型是基于应用层的防火墙为什么错

包过滤防火墙工作在OSI网络参考模型的网络层和传输层，去查一下它的工作原理就知道了。

㈧ 包过滤防火墙 状态防火墙 应用网关防火墙 分别工作在几层 急 求指教 谢谢 感激不尽

应用层 --------应用网关防火墙
表示层
会话层
传输层 ---------状态监测防火墙
网络层 ---------包过滤防火墙、状态监测防火墙
数据链路层
物理层

㈨ 静态包过滤防火墙、动态（状态检测）包过滤防火墙、应用层（代理）防火墙这三类防火墙适用情况

//ok，我改 //包过滤的防火墙最简单，你可以指定让某个IP或某个端口或某个网段的数据包通过[或不通过]，它不支持应用层的过滤，不支持数据包内容的过滤。 //状态防火墙更复杂一点，按照TCP基于状态的特点，在防火墙上记录各个连接的状态，这可以弥补包过滤防火墙的缺点，比如你允许了ip为1.1.1.1的数据包通过防火墙，但是恶意的人伪造ip的话，没有通过tcp的三次握手也可以闯过包过滤防火墙。 //应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。 应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。 // 一、当前防火墙技术分类 防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。 1.1 包过滤技术 包过滤防火墙工作在网络层，对数据包的源及目地 IP 具有识别和控制作用，对于传输层，也只能识别数据包是 TCP 还是 UDP 及所用的端口信息，如下图所示。现在的路由器、 Switch Router 以及某些操作系统已经具有用 Packet Filter 控制的能力。 由于只对数据包的 IP 地址、 TCP/UDP 协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。 包过滤防火墙具有根本的缺陷： 1 ．不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管知道哪些 IP 是可信网络，哪些是不可信网络的 IP 地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源 IP 包改成合法 IP 即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行 IP 地址欺骗。 2 ．不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用 HTTP 协议），不允许去外网下载电影（一般使用 FTP 协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。 3 ．不能处理新的安全威胁。它不能跟踪 TCP 状态，所以对 TCP 层的控制有漏洞。如当它配置了仅允许从内到外的 TCP 访问时，一些以 TCP 应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。 综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他（她）进入一样，难以履行保护内网安全的职责。 1.2 应用代理网关技术 应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的 TCP 连接，应用层的协议会话过程必须符合代理的安全策略要求。 应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。 缺点也非常突出，主要有： · 难于配置。由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略，由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。 · 处理速度非常慢。断掉所有的连接，由防火墙重新建立连接，理论上可以使应用代理防火墙具有极高的安全性。但是实际应用中并不可行，因为对于内网的每个 Web 访问请求，应用代理都需要开一个单独的代理进程，它要保护内网的 Web 服务器、数据库服务器、文件服务器、邮件服务器，及业务程序等，就需要建立一个个的服务代理，以处理客户端的访问请求。这样，应用代理的处理延迟会很大，内网用户的正常 Web 访问不能及时得到响应。 总之，应用代理防火墙不能支持大规模的并发连接，在对速度敏感的行业使用这类防火墙时简直是灾难。另外，防火墙核心要求预先内置一些已知应用程序的代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。 在 IT 领域中，新应用、新技术、新协议层出不穷，代理防火墙很难适应这种局面。因此，在一些重要的领域和行业的核心业