目標 6.2:防火牆功能
目標 6.2:解釋防火牆的常見功能
應用層防火牆是所有防火牆型別中最功能強大的。顧名思義,應用層防火牆功能是透過應用程式實現的。應用層防火牆系統可以實施複雜的規則並嚴格控制透過的流量。這些防火牆的功能可以包括使用者身份驗證系統以及控制外部使用者可以訪問內部網路中的哪些系統的能力。有些還提供頻寬控制機制。由於它們在 會話層 以上執行 開放系統互聯 (OSI) 模型,它們可以提供針對任何試圖透過它們的基於軟體的網路流量的保護。
透過分析資料包的網路層過濾使防火牆能夠檢查透過它的每個資料包並根據配置確定如何處理它。資料包過濾防火牆在 資料鏈路 和 網路 層 OSI 模型。以下是實現資料包過濾的一些標準
- IP 地址
- 透過使用 IP 地址作為引數,防火牆可以根據源 IP 地址或目標 IP 地址允許或拒絕流量。例如,您可以配置防火牆,以便只有內部網路上的某些主機才能訪問網際網路上的主機。或者,您可以配置它,以便只有網際網路上的某些主機才能訪問內部網路上的系統。
- 埠號
- TCP/IP(傳輸控制協議/網際網路協議)套件使用埠號來標識特定資料包的目標服務。透過配置防火牆以允許某些型別的流量,您可以控制流量。例如,您可以開啟防火牆上的埠 80,以允許網際網路上的使用者向公司 Web 伺服器傳送超文字傳輸協議 (HTTP) 請求。您還可以根據應用程式開啟 HTTP 安全 (HTTPS) 埠,埠 443,以允許訪問安全 Web 伺服器應用程式。
- 協議 ID
- 因為每個使用 IP 傳輸的資料包中都有一個協議識別符號,所以防火牆可以讀取此值,然後確定它是什麼型別的資料包。如果您要根據協議 ID 進行過濾,您需要指定哪些協議允許透過防火牆,哪些協議不允許透過防火牆。
- MAC 地址
- 這可能是討論過的資料包過濾方法中最不常用的方法,但可以配置防火牆以使用硬體配置的 MAC 地址作為是否允許訪問網路的決定因素。這並不是一個特別靈活的方法,因此它只適合您可以嚴格控制誰使用哪個 MAC 地址的環境。網際網路不是這樣的環境。
許多工作場所、學校和學院限制了在其建築物中提供的網站和線上服務。這是透過一個專門的代理完成的,稱為內容過濾器。對開放網際網路的請求必須首先通過出站代理過濾器。網路過濾公司提供了一個帶有相關內容屬性的 URL 模式資料庫。該資料庫每週透過站點範圍內的訂閱進行更新,就像病毒過濾器訂閱一樣。管理員指示網路過濾器禁止大量內容類別(例如體育、色情、線上購物、賭博或社交網路)。與被禁止的 URL 模式匹配的請求會立即被拒絕。假設請求的 URL 可接受,則內容將由代理獲取。此時,可以在返回路徑上應用動態過濾器。例如,可以根據膚色匹配阻止 JPEG 檔案,或者語言過濾器可以動態檢測不需要的語言。
網路過濾代理無法檢視安全 HTTP 事務。因此,想要繞過網路過濾的使用者通常會在網際網路上搜索開放和匿名 HTTPS 代理。然後,他們會將瀏覽器程式設計為透過網路過濾器代理所有請求到此匿名代理。這些請求將被加密。網路過濾器無法區分這些事務與訪問金融網站的合法訪問。因此,內容過濾器只對不瞭解技術的使用者有效。
