防火墙知识点总结
网络级防火墙层次低,但是效率高,因为其使用包过滤和状态监测手段,一般只检验网络包外在 (起始地址、状态) 属性是否异常 , 若异常则过滤掉 , 不与内网通信,因此对应用和用户是透明的。但是这样的问题是,如果遇到伪装的危险数据包就没办法过滤,此时,就要依靠应用级防火墙,层次高,效率低 , 因为应用级防火墙会将网络包拆开,具体检査里面的数据是否有问题,会消耗大量时间,造成效率低下,但是安全强度高。
要特别注意的就是上图中的屏蔽子网方法,是在内网和外网之间增加了一个屏蔽子网,相当于多了一层网络,称为 DMZ(非军事区),这样,内网和外网通信必须多经过一道防火墙,屏蔽子网中一般存放的是邮件服务器、WEB服务器这些内外网数据交互的服务器,可以屏蔽掉一些来自内部的攻击,但是完全来自系统内部服务器的攻击还是无法屏蔽掉。