防火墙的安全策略有两种:允许和禁止。
1、允许访问允许访问是指在防火墙的安全策略中没有被列为允许访问的服务都是被禁止的。这意味着需要确定所有可以被提供的服务以及他们的安全特性,开放这些服务,并将所有其他未列入的服务排斥在外,禁止访问。
2、禁止访问禁止访问是指在防火墙的安全策略中没有被列为禁止访问的服务都是被允许的。这意味着首先确定那些被禁止的、不安全的服务,以禁止他们被访问,而其他服务则被认为是安全的,允许访问。
防火墙技术大体上分为以下两类:网络层和应用层。但现在多数防火墙新产品都具有双重特性。
1、网络层这一类型的防火墙,通常使用简单的路由器,采用包过滤技术,检查个人的IP包并决定允许或不允许基于资源的服务、目的地址及使用端口。
网络层技术保护整个网络不受非法入侵,其比较典型的一个范例就是包过滤技术。它简单检查所有进入网络的,并将不符合预先设定标准的数据丢掉。
网络层防火墙采用的另一种技术是授权服务器,由它来验证用户登录的身份。
2、应用层这一类防火墙通常是运行在防火墙之上的软件部分,这一类设备称为应用网关,它是运行代理服务器软件的hr。由于代理服务器在同一级上运行,故它对采集访问并加以控制是非常有用的,例如记录什么样的用户在什么时候联接了什么站点,这对识别网络入侵是有价值的。因此,此类防火墙能提供关于出入站访问的详细,从而较之网络层防火墙,其安全性更强。
应用层技术可以控制对应用程序的访问。例如,代理服务器可以允许对某些程序的访问,而阻止对其它应用程序的访问。
