① 防火牆主要有哪幾類體系結構,分別說明其優缺點
防火牆主要的體系結構:
1、包過濾型防火牆
2、雙宿/多宿主機防火牆
3、被屏蔽主機防火牆
4、被屏蔽子網防火牆
5、其他防火牆體系結構
優缺點:
1、包過濾型防火牆
優點:
(1)處理數據包的速度較快(與代理伺服器相比);(2)實現包過濾幾乎不再需要費用;(3)包過濾路由器對用戶和應用來說是透明的。
缺點:
(1)包過濾防火牆的維護較困難;(2)只能阻止一種類型的IP欺騙;(3)任何直接經過路由器的數據包都有被用作數據驅動式攻擊的潛在危險,一些包過濾路由器不支持有效的用戶認證,僅通過IP地址來判斷是不安全的;(4)不能提供有用的日者或者根本不能提供日誌;(5)隨著過濾器數目的增加,路由器的吞吐量會下降;(6)IP包過濾器可能無法對網路上流動的信息提供全面的控制。
2、雙宿/多宿主機防火牆
優點:
(1)可以將被保護的網路內部結構屏蔽起來,增強網路的安全性;(2)可用於實施較強的數據流監控、過濾、記錄和報告等。
缺點:
(1)使訪問速度變慢;(2)提供服務相對滯後或者無法提供。
3、被屏蔽主機防火牆
優點:
(1)其提供的安全等級比包過濾防火牆系統要高,實現了網路層安全(包過濾)和應用層安全(代理服務);(2)入侵者在破壞內部網路的安全性之前,必須首先滲透兩種不同的安全系統;(3)安全性更高。
缺點:路由器不被正常路由。
4、被屏蔽子網防火牆
優點:
安全性高,若入侵者試圖破壞防火牆,他必須重新配置連接三個網的路由,既不切斷連接,同時又不使自己被發現,難度系數高。
缺點:
(1)不能防禦內部攻擊者,來自內部的攻擊者是從網路內部發起攻擊的,他們的所有攻擊行為都不通過防火牆;(2)不能防禦繞過防火牆的攻擊;(3)不能防禦完全新的威脅:防火牆被用來防備已知的威脅;(4)不能防禦數據驅動的攻擊:防火牆不能防禦基於數據驅動的攻擊。