流过滤防火墙优缺点

1. 包过滤防火墙和代理服务器的优缺点

包过滤
是对穿透来的IP包进行检测，符自合要求的过，否则丢。
比如现在的视频会议或VOIP采用的H.323协议体系，防火墙可以检测H.323特征，对于H.323的包，不检测，直接放过，而非H323包，按照普通防火墙检测是否放过。
优：对于部分应用可以不进行检测，不需进行额外端口或IP设置

代理
不检测通过的是什么，只要按照指定端口/制定IP/指定MAC的码流都可以通过，也有部分可以限制诸如QQ、MSN等软件

2. 思科防火墙的优缺点

思科防火墙的优缺点分别是：

优点：思科防火墙对每条传入和传出网络的包实行低水平控制。对每个IP包的字段都被检查，例如源地址、目的地址、协议、端口等。防火墙将基于这些信息应用过滤规则。

思科防火墙可以识别和丢弃带欺骗性源IP地址的包。包过滤防火墙是两个网络之间访问的唯一来源。因为所有的通信必须通过防火墙，绕过是困难的。

包过滤通常被包含在路由器数据包中，所以不必额外的系统来处理这个特征。

缺点：配置困难。因为包过滤防火墙很复杂，人们经常会忽略建立一些必要的规则，或者错误配置了已有的规则，在防火墙上留下漏洞。

然而，在市场上，许多新版本的防火墙对这个缺点正在作改进，如开发者实现了基于图形化用户界面(GUI)的配置和更直接的规则定义。

思科防火墙策略是：

1、内网到外网：内网的数据到外网防火墙是放行的。外网的数据到内网防火墙是拒绝的。

配置策略使数据包能从外网进入防火墙：

ciscoasa(config)# access-list 110 extended permit ip any any。

ciscoasa(config)# access-group 110 in interface outside。

2、dmz到外网：DMZ的数据到外网防火墙是放行的。外网的数据到DMZ防火墙是拒绝的。

配置dmz到outside的策略：

ciscoasa(config)# access-list 119 extended permit ip any any。

ciscoasa(config)# access-group 119 in interface outside。

3. 什么是防火墙，防火墙具有哪些优点

什么是防火墙？
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
主要优点：
（1）防火墙能强化安全策略。
（2）防火墙能有效地记录Internet上的活动。
（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。
（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

4. 防火墙的优点,缺点和功能是什么

防火墙的功能

防火墙是网络安全的屏障：

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

防火墙可以强化网络安全策略：

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

对网络存取和访问进行监控审计：

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄：

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

5. 防火墙的功效和弊端

防火墙定义

防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。

防火墙的功能

防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

为什么使用防火墙

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

防火墙的类型

防火墙有不同类型。一个防火墙可以是硬件自身的一部分，你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行，该机器作为它背后网络中所有计算机的代理和防火墙。最后，直接连在因特网的机器可以使用个人防火墙。

6. 防火墙分为哪两种类型比较它们在维护网络安全方面的优缺点

按传统理论,防火墙可分为包过滤(Packetfiltering)和应用代理(ApplicationProxy)两种类型。
1、包过滤型(Packet Filter):包过滤通常安装在路由器上,并且大多数商用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIP Tunnel)、端口号等进行筛选。

2、代理服务型(Proxy Service):代理服务型防火墙通常由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。

3、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。

4、其它防火墙:路由器和各种主机按其配置和功能可组成各种类型的防火墙。双端主机防火墙(Dyal-Homed Host Firewall)堡垒主机充当网关,并在其上运行防火墙软件。内部网与外部网之间不能直接进行通信,必须经过堡垒主机。屏蔽主机防火墙(Screened Host Firewall)一个包过滤路由器与外部网相连,同时,一个堡垒主机安装在内部网上,使堡垒主机成为外部网所能到达的唯一节点,确保内部网不受外部非授权用户的攻击。加密路由器(Encrypting Router):加密路由器对通过路由器的信息流进行加密和压缩,然后通过外部网络传输到目的端进行解压缩和解密。

其实目前防火墙产品非常之多，划分的标准也比较杂。 主要分类如下：
1. 从软、硬件形式上分为 软件防火墙和硬件防火墙以及芯片级防火墙。
2.从防火墙技术分为 “包过滤型”和“应用代理型”两大类。
3.从防火墙结构分为 < 单一主机防火墙、路由器集成式防火墙和分布式防火墙三种。
4. 按防火墙的应用部署位置分为 边界防火墙、个人防火墙和混合防火墙三大类。
5. 按防火墙性能分为 百兆级防火墙和千兆级防火墙两类。

7. 包过滤型防火墙和代理服务器防火墙的优缺点

包过滤防火墙工作在网络协议IP层，它只对IP包的源地址、目标地址及相应端口进行处理，因此速度比较快，能够处理的并发连接比较多，缺点是对应用层的攻击无能为力。

代理服务器防火墙将收到的IP包还原成高层协议的通讯数据，比如http连接信息，因此能够对基于高层协议的攻击进行拦截。缺点是处理速度比较慢，能够处理的并发数比较少。

代理服务器是防火墙技术的发展方向，众多厂商都在提高处理速度的同时基于代理开发防火墙的更高级防护功能。

8. 防火墙主要有哪几类体系结构，分别说明其优缺点

防火墙主要的体系结构：
1、包过滤型防火墙
2、双宿/多宿主机防火墙
3、被屏蔽主机防火墙
4、被屏蔽子网防火墙
5、其他防火墙体系结构
优缺点：
1、包过滤型防火墙
优点：
（1）处理数据包的速度较快（与代理服务器相比）；（2）实现包过滤几乎不再需要费用；（3）包过滤路由器对用户和应用来说是透明的。
缺点：
（1）包过滤防火墙的维护较困难；（2）只能阻止一种类型的IP欺骗；（3）任何直接经过路由器的数据包都有被用作数据驱动式攻击的潜在危险，一些包过滤路由器不支持有效的用户认证，仅通过IP地址来判断是不安全的；（4）不能提供有用的日者或者根本不能提供日志；（5）随着过滤器数目的增加，路由器的吞吐量会下降；（6）IP包过滤器可能无法对网络上流动的信息提供全面的控制。
2、双宿/多宿主机防火墙
优点：
（1）可以将被保护的网络内部结构屏蔽起来，增强网络的安全性；（2）可用于实施较强的数据流监控、过滤、记录和报告等。
缺点：
（1）使访问速度变慢；（2）提供服务相对滞后或者无法提供。
3、被屏蔽主机防火墙
优点：
（1）其提供的安全等级比包过滤防火墙系统要高，实现了网络层安全（包过滤）和应用层安全（代理服务）；（2）入侵者在破坏内部网络的安全性之前，必须首先渗透两种不同的安全系统；（3）安全性更高。
缺点：路由器不被正常路由。
4、被屏蔽子网防火墙
优点：
安全性高，若入侵者试图破坏防火墙，他必须重新配置连接三个网的路由，既不切断连接，同时又不使自己被发现，难度系数高。
缺点：
（1）不能防御内部攻击者，来自内部的攻击者是从网络内部发起攻击的，他们的所有攻击行为都不通过防火墙；（2）不能防御绕过防火墙的攻击；（3）不能防御完全新的威胁：防火墙被用来防备已知的威胁；（4）不能防御数据驱动的攻击：防火墙不能防御基于数据驱动的攻击。

9. 防火墙的优缺点是什么

防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。目前市场上的防火墙基本大同小异，瑞星、天网等都可以用的。
不过目前的很多远程监控程序都是采用反向链接方式，这样一来防火墙基本上就形同虚设了，防止非法远程监控最简单有效的方法是安装媲西伊遮斯。媲西伊遮斯是远程控制软件的克星，是一款采用全新技术、唯一专门从根本上阻断远程监控的软件。它能从根本上彻底阻断非法屏幕监控、非法键盘和鼠标记录，阻断密码大盗和文档资料的窃取，是一款全新概念的防阻非法监控的软件。只要一出现四大非法监控，媲西伊遮斯马上自动切断。尤其对于那些未流行病毒、黑客自己制作的木马以及某些所谓的正当监控软件作用更明显，因为这些是杀毒软件无法查到无法杀掉的