看一看：看一看;浅谈分布式防火墙技术的应用与发展趋势

传统的防火墙分为包过滤型和代理型，他们都有各自的缺点与局限性。随着计算机安全技术的发展和用户对防火墙功能要求的提高，目前出现1种新型防火墙，那就是"散布式防火墙"，英文名为"Distributed Firewalls"。它是在目前传统的边界式防火墙基础上开发的。但目前主要是以软件情势出现的，也有1些国际著名网络设备开发商开产生产了：集成分布式防火墙技术的硬件散布式防火墙，做成嵌入式防火墙PCI卡或PCMCIA卡的情势，但负责集中管理的还是1个服务器软件。由因而将散布式防火墙技术集成在硬件上，所以通常称之为"嵌入式防火墙"，其实其核心技术就是"散布式防火墙"技术。1．散布式防火墙的产生 1．1传统防火墙的缺点 传统防火墙根据所采取的技术，可以分为包过滤型和代理型。下面重点介绍包过滤型防火墙和利用网关防火墙的原理及其缺点。 包过滤防火墙的工作原理：包过滤技术包括两种基本类型：无状态检查的包过滤和有状态检查的包过滤，其辨别在于后者通过记住防火墙的所有通讯状态，并根据状态信息来过滤全部通讯流，而不单单是包。包过滤是在IP层实现的，因此，它可以只用路由器完成。包过滤根据包的源IP地址、目的IP地址、源端口、目的端口及包传递方向等报头信息来判断是否是允许包通过。过滤用户定义的内容，如IP地址。其工作原理是系统在网络层检查数据包，与利用层无关，包过滤器的利用非常广泛，由于CPU用来处理包过滤的时间可以忽视不计。而且这类防护措施透明棚户区改造范围和标准，合法用户在进出网络时，根本感觉不到它的存在，使用起来很方便。这样系统就具有很好的传输性能土地征收的补偿构成及其标准，易扩大。但是这类防火墙不太安全两层以上的拆迁补偿多少钱城镇门面房拆迁补偿标准，由于系统对利用层信息无感知――也就是说，它们不理解通讯的内容，不能在用户级别上进行过滤，即不能辨认不同的用户和避免IP地址的盗用。如果攻击者把自己主机的IP地址设成1个合法主机的IP地址，就可以够很轻易地通过包过滤器，这样更容易被黑客攻破。基于这类工作机制，包过滤防火墙有以下缺点： （1）特洛伊木马使包过滤器失效； （2）第0个分段中便过滤TCP； （3）只能访问部分数据包的头信息； （4）不能保存来自于通讯和利用的状态信息； （5）处理信息的能力有限。 （6）允许1024以上的端口通过； 利用代理服务器（Application Gateway Proxy）包括回路级代理服务器、代管服务器、IP通道（IP Tunnels）、网络地址转换器(NAT Network Address Translate)、隔离域名服务器（Split Domain Name Server）和邮件技术（Mail Forwarding）。其工作原理由图（1）所示。图1

代理服务器通过检查网络内部客户的服务要求，验证其合法性，作为1台客户机1样向真实的服务器发出要求并取回所需信息，最后再转发给客户。 由于他们打破了传统的客户机与服务器模式（CS模式），且每一个客户机/服务器通讯需要两个连接：1个是从客户端到防火墙，另外1个是从防火墙到服务器，因此可伸缩性差。(end)资讯分类行业动态帮助文档展会专题报道5金人物商家文章