电路级网关电路级网关在 OSI 会话层运行,并监视本地和远程主机之间的TCP(传输控制协议)握手。其可以在不消耗大量资源的情况下快速批准或拒绝流量。但是,这些系统不检查数据包,因此如果 TCP 握手通过,即使是感染了恶意软件的请求也可以访问。 电路级网关的优点:仅处理请求的事务,并拒绝所有其他流量。易于设置和管理。资源和成本效益。强大的地址暴露保护。对最终用户体验的影响最小。 电路级网关的缺点:不是一个独立的解决方案,因为没有内容过滤。通常需要对软件和网络协议进行调整。状态检测防火墙状态检测防火墙(或动态包过滤防火墙)在网络层和传输层监控传入和传出的数据包。这类防火墙结合了数据包检测和 TCP 握手验证。 状态检测防火墙维护一个表数据库,该数据库跟踪所有打开的连接使系统能够检查现有的流量流。该数据库存储所有与关键数据包相关的信息,包括: 源IP。源端口。目的 IP。每个连接的目标端口。 当一个新数据包到达时,防火墙检查有效连接表。检测过的数据包无需进一步分析即可通过,而防火墙会根据预设规则集评估不匹配的流量。 状态检测防火墙的优点:过滤流量时会自动通过以前检查过的数据包。在阻止利用协议缺陷的攻击方面表现出色。无需打开大量端口来让流量进出,这可以缩小攻击面。详细的日志记录功能,有助于数字取证。减少对端口扫描器的暴露。 状态检测防火墙的缺点:比包过滤防火墙更昂贵。需要高水平的技能才能正确设置。通常会影响性能并导致网络延迟。不支持验证欺骗流量源的身份验证。容易受到利用预先建立连接的 TCP Flood攻击。代理防火墙代理防火墙(或应用级网关)充当内部和外部系统之间的中介。这类防火墙会在客户端请求发送到主机之前对其进行屏蔽,从而保护网络。 代理防火墙在应用层运行,具有深度包检测 (DPI)功能,可以检查传入流量的有效负载和标头。 当客户端发送访问网络的请求时,消息首先到达代理服务器。防火墙会检查以下内容:客户端和防火墙后面的设备之间的先前通信(如果有的话)。标头信息。内容本身。 然后代理屏蔽该请求并将消息转发到Web 服务器。此过程隐藏了客户端的 ID。服务器响应并将请求的数据发送给代理,之后防火墙将信息传递给原始客户端。 代理防火墙是企业保护 Web应用免受恶意用户攻击的首选。 代理防火墙的优点:DPI检查数据包标头和有效负载 。在客户端和网络之间添加了一个额外的隔离层。对潜在威胁行为者隐藏内部 IP 地址。检测并阻止网络层不可见的攻击。对网络流量进行细粒度的安全控制。解除地理位置限制。
电路级网关
仅处理请求的事务,并拒绝所有其他流量。
易于设置和管理。
资源和成本效益。
强大的地址暴露保护。
对最终用户体验的影响最小。
不是一个独立的解决方案,因为没有内容过滤。
通常需要对软件和网络协议进行调整。
状态检测防火墙
源IP。
源端口。
目的 IP。
每个连接的目标端口。
过滤流量时会自动通过以前检查过的数据包。
在阻止利用协议缺陷的攻击方面表现出色。
无需打开大量端口来让流量进出,这可以缩小攻击面。
详细的日志记录功能,有助于数字取证。
减少对端口扫描器的暴露。
比包过滤防火墙更昂贵。
需要高水平的技能才能正确设置。
通常会影响性能并导致网络延迟。
不支持验证欺骗流量源的身份验证。
容易受到利用预先建立连接的 TCP Flood攻击。
代理防火墙
客户端和防火墙后面的设备之间的先前通信(如果有的话)。
标头信息。
内容本身。
DPI检查数据包标头和有效负载 。
在客户端和网络之间添加了一个额外的隔离层。
对潜在威胁行为者隐藏内部 IP 地址。
检测并阻止网络层不可见的攻击。
对网络流量进行细粒度的安全控制。
解除地理位置限制。
服务热线
1391-024-6332
