防火墻的過(guò)濾模式

　　目前防火墻的過(guò)濾模式有很多種，但是很多網(wǎng)友卻不清楚詳細(xì)的具體內(nèi)容。所以今天學(xué)習(xí)啦小編要跟大家介紹下防火墻的過(guò)濾模式有哪些，下面就是學(xué)習(xí)啦小編為大家整理到的資料，請(qǐng)大家認(rèn)真看看!

　　防火墻的過(guò)濾模式

　　1. 概述

　　內(nèi)容過(guò)濾已經(jīng)是目前各種防火墻所具備的基本功能，本文總結(jié)各種防火墻的內(nèi)容過(guò)濾模式。

　　內(nèi)容過(guò)濾主要是針對(duì)TCP、UDP協(xié)議的上層協(xié)議的內(nèi)容信息來(lái)處理的。

　　內(nèi)容過(guò)濾是針對(duì)明文進(jìn)行的，或者是偽明文，如base64編碼、壓縮等，加密信息如SSL、SSH等是不可能進(jìn)行內(nèi)容過(guò)濾的。

　　2. HTTP協(xié)議(TCP80)

　　HTTP協(xié)議是應(yīng)用最為廣泛的協(xié)議，相對(duì)來(lái)說(shuō)針對(duì)HTTP的內(nèi)容過(guò)濾模式也最多。

　　2.1 URL過(guò)濾

　　URL過(guò)濾是HTTP過(guò)濾的基本模式，URL過(guò)濾可包括URL白名單、黑名單、關(guān)鍵字等，還可以進(jìn)一步與其他服務(wù)器配合進(jìn)行URL過(guò)濾，如CheckPoint的UFP協(xié)議，WebSense提供URL的數(shù)據(jù)庫(kù)和分類。

　　2.2 HTTP數(shù)據(jù)類型過(guò)濾

　　HTTP數(shù)據(jù)類型可根據(jù)URL定義的文件類型;

　　上傳或下載的文件類型;

　　HTTP頭字段Content-Type定義的類型;

　　HTML語(yǔ)言定義的類型，如IMG、APPLET、SCRIPT等進(jìn)行過(guò)濾。

　　2.3 HTTP頭(header)字段過(guò)濾

　　HTTP定義了很多頭字段用于描述HTTP信息，可以針對(duì)各種類型的頭字段進(jìn)行過(guò)濾。

　　2.4 HTTP命令類型過(guò)濾

　　HTTP命令包括GET、PUT、POST等，通過(guò)命令過(guò)濾可限制用戶使用HTTP某些功能。

　　2.5 HTTP內(nèi)容關(guān)鍵字過(guò)濾

　　對(duì)所有HTTP協(xié)議任何數(shù)據(jù)中的關(guān)鍵字進(jìn)行過(guò)濾

　　3. FTP協(xié)議(TCP21)

　　3.1 上傳下載文件類型過(guò)濾

　　針對(duì)FTP的GET和PUT命令執(zhí)行的文件類型進(jìn)行過(guò)濾

　　3.2 FTP命令過(guò)濾

　　針對(duì)FTP的命令進(jìn)行過(guò)濾，以阻止執(zhí)行某些命令，F(xiàn)TP協(xié)議命令和FTP客戶端界面的命令是兩碼事，F(xiàn)TP命令集在RFC959、2228、2640中定義。

　　3.3 FTP命令通道內(nèi)容關(guān)鍵字過(guò)濾

　　針對(duì)FTP命令通道內(nèi)的任何數(shù)據(jù)中的關(guān)鍵字進(jìn)行過(guò)濾。

　　3.4 FTP數(shù)據(jù)通道關(guān)鍵字過(guò)濾

　　針對(duì)FTP數(shù)據(jù)通道任何數(shù)據(jù)的關(guān)鍵字進(jìn)行過(guò)濾。

　　4. SMTP協(xié)議(TCP25)

　　SMTP協(xié)議可過(guò)濾的內(nèi)容也比較多

　　4.1 SMTP協(xié)議頭字段過(guò)濾

　　和HTTP一樣，SMTP也通過(guò)很多頭字段來(lái)描述要傳輸?shù)膬?nèi)容，針對(duì)各種類型的頭字段進(jìn)行過(guò)濾，可以包括過(guò)濾如Subject, To, From, Cc等的關(guān)鍵字信息。

　　4.2 郵件長(zhǎng)度過(guò)濾

　　限制發(fā)送的郵件長(zhǎng)度。

　　4.3 郵件內(nèi)容關(guān)鍵字過(guò)濾

　　針對(duì)郵件數(shù)據(jù)中的關(guān)鍵字進(jìn)行過(guò)濾，現(xiàn)在的SMTP傳輸雙字節(jié)語(yǔ)言和二進(jìn)制數(shù)據(jù)都是編碼的，需要進(jìn)行解碼后過(guò)濾。

　　4.4 郵件附件過(guò)濾

　　針對(duì)郵件附件的類型、內(nèi)容關(guān)鍵字進(jìn)行過(guò)濾。

　　5. IMAP(TCP143)/POP3(TCP110)過(guò)濾

　　雖然都屬于郵件，但POP3的過(guò)濾方式比SMTP要少，畢竟郵件已經(jīng)到達(dá)目的郵箱中，不要只能自己刪除。

　　5.1 郵件內(nèi)容關(guān)鍵字過(guò)濾

　　針對(duì)郵件數(shù)據(jù)中的關(guān)鍵字進(jìn)行過(guò)濾，現(xiàn)在的SMTP傳輸雙字節(jié)語(yǔ)言和二進(jìn)制數(shù)據(jù)都是編碼的，需要進(jìn)行解碼后過(guò)濾。

　　5.2 附件文件類型過(guò)濾

　　針對(duì)郵件附件類型進(jìn)行過(guò)濾，對(duì)于危險(xiǎn)類型的附件進(jìn)行警告并阻止其自動(dòng)運(yùn)行。

　　6. DNS協(xié)議(TCP/UDP53)

　　DNS過(guò)濾其實(shí)是最強(qiáng)的限制方式，使域名解析失敗，這樣不論是HTTP還是TELNET、FTP等，任何協(xié)議都無(wú)法使用。

　　6.1 域名過(guò)濾

　　根據(jù)域名信息的白名單、黑名單、關(guān)鍵字進(jìn)行過(guò)濾

　　6.2 DNS地址NAT

　　是解決內(nèi)網(wǎng)服務(wù)器和內(nèi)部機(jī)器在同一網(wǎng)段時(shí)通過(guò)域名訪問服務(wù)器的問題，也屬于內(nèi)容過(guò)濾處理范疇

　　7. TELNET過(guò)濾(TCP23)

　　TELNET一般只進(jìn)行關(guān)鍵字過(guò)濾

　　8. 其他協(xié)議

　　其他類型協(xié)議的內(nèi)容過(guò)濾相對(duì)比較少，基本就是對(duì)協(xié)議內(nèi)容的關(guān)鍵字過(guò)濾。

　　9. 協(xié)議合法性檢測(cè)和閾下通道檢測(cè)

　　主要是檢查協(xié)議通道內(nèi)是數(shù)據(jù)是否是符合RFC標(biāo)準(zhǔn)的數(shù)據(jù)，防止其他協(xié)議使用該端口進(jìn)行通信。

　　10. 病毒過(guò)濾

　　網(wǎng)絡(luò)病毒可以通過(guò)任何一種網(wǎng)絡(luò)協(xié)議進(jìn)行傳播，所以將其單獨(dú)列出。

　　有的防火墻自己帶了病毒庫(kù)，可以在轉(zhuǎn)發(fā)數(shù)據(jù)的同時(shí)進(jìn)行搜索;一般是和病毒服務(wù)器進(jìn)行互動(dòng)，把數(shù)據(jù)傳給病毒服務(wù)器，由病毒服務(wù)器掃描后將結(jié)果返回。無(wú)論何種形式，病毒檢測(cè)都是最慢最費(fèi)資源的處理過(guò)程，病毒掃描速度大致可以自己試，如果10M帶寬，每秒數(shù)據(jù)1.25兆字節(jié)，用單機(jī)殺毒工具掃一個(gè)1.25兆的文件看看要多少時(shí)間。不過(guò)通常病毒庫(kù)中只包括網(wǎng)絡(luò)病毒，不包括單機(jī)類病毒，這樣可以減少掃描時(shí)間。

　　11. 總結(jié)

　　內(nèi)容過(guò)濾實(shí)質(zhì)還是關(guān)鍵字過(guò)濾，就看是檢測(cè)哪種類型的關(guān)鍵字了，內(nèi)容過(guò)濾的速度取決于關(guān)鍵字模式的查找速度。內(nèi)容過(guò)濾的關(guān)鍵就在于發(fā)現(xiàn)異常模式而切斷連接，至于連接的切斷模式也有各種方式，最好是能讓用戶知道是為什么被切斷的。
是不是很簡(jiǎn)單呢~快跟學(xué)習(xí)啦小編一起學(xué)習(xí)吧?。?！如果覺得本文不錯(cuò)的話，就給學(xué)習(xí)啦小編點(diǎn)一個(gè)贊吧?。?！