OSI参考模型 | 防火墙技术 |
---|---|
应用层 | 应用级网关 |
表示层 | 加密 |
会话层 | 电路级网关 |
传输层 | 包过滤 |
网络层 | NAT |
数据链路层 | 无 |
物理层 | 无 |
包过滤防火墙 | 代理防火墙 | |
---|---|---|
优点 | 工作在IP和TCP层,所以处理包的速度快,效率高; 提供透明的服务,用户不用改变客户端程序 | 不允许数据包直接通过防火墙,避免了数据驱动式攻击的发生,安全性好; 能生成各项记录。能灵活、完全地控制进出的流量和内容;能过滤数据内容。 |
包过滤防火墙 | 代理防火墙 | |
---|---|---|
缺点 | 定义复杂,容易出现因配置不当带来的问题;允许数据包直接通过,容易造成数据驱动式攻击的潜在危险; 不能彻底防止地址欺骗; 包中只有来自哪台机器的信息不包含来自哪个用户的信息;不支持用户认证; 不提供日志功能。 | 对于每项服务代理可能要求不同的服务器;速度较慢;对用户不透明,用户需要改变客户端程序;不能保证免受所有协议弱点的限制;不能改进底层协议的安全性。 |