包过滤防火墙和应用级网关

没有人可以否认，互联网的蓬勃发展拉近了世界的距离。但与此同时，它也给我们留下了不同种类的安全威胁。为了确保公司网络的有价值信息免受外部攻击的机密性和完整性，我们必须有一些强大的机制。这就是防火墙发挥作用的地方。

这可以比作一个站在部长家门口的保安。他密切关注每个人，并对每个希望进入房屋的人进行身体检查。如果一个人携带了刀、枪等有害物品，它不会让他/她进入。同样，即使这个人没有任何违禁物品但看起来很可疑，守卫仍然可以阻止那个人的进入。入口。

防火墙起到保护作用。它保护企业网络，充当内部网络和外部世界之间的屏障。任一方向的所有流量都必须通过防火墙。然后它决定是否允许流量流动。防火墙可以实现为硬件和软件，或两者的组合。

包过滤器 –

包过滤防火墙

• 它工作在 OSI 模型的网络层。它对每个数据包应用一组规则（基于 IP 和传输头字段的内容），并根据结果决定转发或丢弃数据包。
• 包过滤防火墙根据包的源地址和目的地址或特定的传输协议类型来控制对包的访问。它在 OSI（开放系统互连）数据链路、网络和传输层完成。包过滤防火墙工作在 OSI 模型的网络层。
• 数据包过滤器只考虑每个数据包的最基本属性，它们不需要记住任何关于流量的信息，因为每个数据包都是单独检查的。因此，他们可以非常快速地决定数据包流。
• 示例：可以将过滤器设置为阻止所有 UDP 段和所有 Telnet 连接。这种类型的配置可防止外部人员使用 Telnet 登录内部主机，而内部人员则无法使用 Telnet 连接登录外部主机。

应用程序网关 –

应用级网关

• 应用级网关也称为堡垒主机。它在应用程序级别运行。多个应用程序网关可以在同一主机上运行，但每个网关都是具有自己进程的单独服务器。
• 这些防火墙（也称为应用程序代理）提供最安全的数据连接类型，因为它们可以检查通信的每一层，包括应用程序数据。
• 示例：考虑 FTP 服务。 FTP 命令如获取文件、放置文件、列出文件以及将进程定位在目录树中的特定点。某些系统管理员阻止 put 命令但允许 get 命令、仅列出某些文件或禁止更改特定目录。代理服务器将模拟此协议交换的双方。例如，代理可能接受 get 命令并拒绝 put 命令。

它的工作原理如下：

步骤 1：用户使用 TCP/IP 应用程序（例如 HTTP）联系应用程序网关。

步骤 2：应用程序网关询问用户想要与之建立连接的远程主机。它还要求提供访问应用程序网关服务所需的用户 ID 和密码。

Step-3：应用网关验证用户真实性后，代表用户访问远程主机进行报文投递。

不同之处 ：