目标 6.2:防火墙功能
目标 6.2:解释防火墙的常见功能
应用层防火墙是所有防火墙类型中最功能强大的。顾名思义,应用层防火墙功能是通过应用程序实现的。应用层防火墙系统可以实施复杂的规则并严格控制通过的流量。这些防火墙的功能可以包括用户身份验证系统以及控制外部用户可以访问内部网络中的哪些系统的能力。有些还提供带宽控制机制。由于它们在 会话层 以上运行 开放系统互联 (OSI) 模型,它们可以提供针对任何试图通过它们的基于软件的网络流量的保护。
通过分析数据包的网络层过滤使防火墙能够检查通过它的每个数据包并根据配置确定如何处理它。数据包过滤防火墙在 数据链路 和 网络 层 OSI 模型。以下是实现数据包过滤的一些标准
- IP 地址
- 通过使用 IP 地址作为参数,防火墙可以根据源 IP 地址或目标 IP 地址允许或拒绝流量。例如,您可以配置防火墙,以便只有内部网络上的某些主机才能访问互联网上的主机。或者,您可以配置它,以便只有互联网上的某些主机才能访问内部网络上的系统。
- 端口号
- TCP/IP(传输控制协议/互联网协议)套件使用端口号来标识特定数据包的目标服务。通过配置防火墙以允许某些类型的流量,您可以控制流量。例如,您可以打开防火墙上的端口 80,以允许互联网上的用户向公司 Web 服务器发送超文本传输协议 (HTTP) 请求。您还可以根据应用程序打开 HTTP 安全 (HTTPS) 端口,端口 443,以允许访问安全 Web 服务器应用程序。
- 协议 ID
- 因为每个使用 IP 传输的数据包中都有一个协议标识符,所以防火墙可以读取此值,然后确定它是什么类型的数据包。如果您要根据协议 ID 进行过滤,您需要指定哪些协议允许通过防火墙,哪些协议不允许通过防火墙。
- MAC 地址
- 这可能是讨论过的数据包过滤方法中最不常用的方法,但可以配置防火墙以使用硬件配置的 MAC 地址作为是否允许访问网络的决定因素。这并不是一个特别灵活的方法,因此它只适合您可以严格控制谁使用哪个 MAC 地址的环境。互联网不是这样的环境。
许多工作场所、学校和学院限制了在其建筑物中提供的网站和在线服务。这是通过一个专门的代理完成的,称为内容过滤器。对开放互联网的请求必须首先通过出站代理过滤器。网络过滤公司提供了一个带有相关内容属性的 URL 模式数据库。该数据库每周通过站点范围内的订阅进行更新,就像病毒过滤器订阅一样。管理员指示网络过滤器禁止大量内容类别(例如体育、色情、在线购物、赌博或社交网络)。与被禁止的 URL 模式匹配的请求会立即被拒绝。假设请求的 URL 可接受,则内容将由代理获取。此时,可以在返回路径上应用动态过滤器。例如,可以根据肤色匹配阻止 JPEG 文件,或者语言过滤器可以动态检测不需要的语言。
网络过滤代理无法查看安全 HTTP 事务。因此,想要绕过网络过滤的用户通常会在互联网上搜索开放和匿名 HTTPS 代理。然后,他们会将浏览器编程为通过网络过滤器代理所有请求到此匿名代理。这些请求将被加密。网络过滤器无法区分这些事务与访问金融网站的合法访问。因此,内容过滤器只对不了解技术的用户有效。
