1、防火墻能增強(qiáng)機(jī)構(gòu)內(nèi)部網(wǎng)絡(luò)的安全性。防火墻系統(tǒng)決定了哪些內(nèi)部服務(wù)可以被外界訪問(wèn)；外界的哪些人可以訪問(wèn)內(nèi)部的服務(wù)以及哪些外部服務(wù)可以被內(nèi)部人員訪問(wèn)。防火墻必須只允許授權(quán)的數(shù)據(jù)通過(guò)，而且防火墻本身也必須能夠免于滲透。防火墻的五大功能 一般來(lái)說(shuō)，防火墻具有以下幾種功能： 1允許網(wǎng)絡(luò)管理員定義一個(gè)中心點(diǎn)來(lái)防止非法用戶(hù)進(jìn)入內(nèi)部網(wǎng)絡(luò)。 2可以很方便地監(jiān)視網(wǎng)絡(luò)的安全性，并報(bào)警。 3可以作為部署nat（network address translation，網(wǎng)絡(luò)地址變換）的地點(diǎn)，利用nat技術(shù)，將有限的ip地址動(dòng)態(tài)或靜態(tài)地與內(nèi)部的ip地址對(duì)應(yīng)起來(lái)，用來(lái)緩解地址空間短缺的問(wèn)題。 4是審計(jì)和記錄internet使用

2、費(fèi)用的一個(gè)最佳地點(diǎn)。網(wǎng)絡(luò)管理員可以在此向管理部門(mén)提供internet連接的費(fèi)用情況，查出潛在的帶寬瓶頸位置，并能夠依據(jù)本機(jī)構(gòu)的核算模式提供部門(mén)級(jí)的計(jì)費(fèi)。 兩種防火墻技術(shù)的對(duì)比包過(guò)濾防火墻 優(yōu)點(diǎn) 價(jià)格較低 性能開(kāi)銷(xiāo)小，處理速度較快 缺點(diǎn) 定義復(fù)雜，容易出現(xiàn)因配置不當(dāng)帶來(lái)問(wèn)題 允許數(shù)據(jù)包直接通過(guò)，容易造成數(shù)據(jù)驅(qū)動(dòng)式攻擊的潛在危險(xiǎn) 代理防火墻 內(nèi)置了專(zhuān)門(mén)為了提高安全性而編制的proxy應(yīng)用程序，能夠透徹地理解相關(guān)服務(wù)的命令，對(duì)來(lái)往的數(shù)據(jù)包進(jìn)行安全化處理 速度較慢，不太適用于高速網(wǎng)（atm或千兆位以太網(wǎng)等）之間的應(yīng)用 5可以連接到一個(gè)單獨(dú)的網(wǎng)段上，從物理上和內(nèi)部網(wǎng)段隔開(kāi)，并在此部署www服務(wù)器和ftp

3、服務(wù)器，將其作為向外部發(fā)布內(nèi)部信息的地點(diǎn)。從技術(shù)角度來(lái)講，就是所謂的停火區(qū)（dmz）。 防火墻的兩大分類(lèi) 盡管防火墻的發(fā)展經(jīng)過(guò)了上述的幾代，但是按照防火墻對(duì)內(nèi)外來(lái)往數(shù)據(jù)的處理方法，大致可以將防火墻分為兩大體系：包過(guò)濾防火墻和代理防火墻（應(yīng)用層網(wǎng)關(guān)防火墻）。前者以以色列的checkpoint防火墻和cisco公司的pix防火墻為代表，后者以美國(guó)nai公司的gauntlet防火墻為代表。 1包過(guò)濾防? 第一代：靜態(tài)包過(guò)濾 這種類(lèi)型的防火墻根據(jù)定義好的過(guò)濾規(guī)則審查每個(gè)數(shù)據(jù)包，以便確定其是否與某一條包過(guò)濾規(guī)則匹配。過(guò)濾規(guī)則基于數(shù)據(jù)包的報(bào)頭信息進(jìn)行制訂。報(bào)頭信息中包括ip源地址、ip目標(biāo)地址、傳輸協(xié)議(

4、tcp、udp、icmp等等)、tcp/udp目標(biāo)端口、icmp消息類(lèi)型等。包過(guò)濾類(lèi)型的防火墻要遵循的一條基本原則是“最小特權(quán)原則”，即明確允許那些管理員希望通過(guò)的數(shù)據(jù)包，禁止其他的數(shù)據(jù)包。 圖1 簡(jiǎn)單包過(guò)濾防火墻 第二代：動(dòng)態(tài)包過(guò)濾 這種類(lèi)型的防火墻采用動(dòng)態(tài)設(shè)置包過(guò)濾規(guī)則的方法，避免了靜態(tài)包過(guò)濾所具有的問(wèn)題。這種技術(shù)后來(lái)發(fā)展成為所謂包狀態(tài)監(jiān)測(cè)（stateful inspection）技術(shù)。采用這種技術(shù)的防火墻對(duì)通過(guò)其建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要可動(dòng)態(tài)地在過(guò)濾規(guī)則中增加或更綠蹌俊? 圖2 動(dòng)態(tài)包過(guò)濾防火墻 2 代理防火墻 第一代：代理防火墻 代理防火墻也叫應(yīng)用層網(wǎng)關(guān)（applica

5、tion gateway）防火墻。這種防火墻通過(guò)一種代理（proxy）技術(shù)參與到一個(gè)tcp連接的全過(guò)程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過(guò)這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)結(jié)構(gòu)的作用。這種類(lèi)型的防火墻被網(wǎng)絡(luò)安全專(zhuān)家和媒體公認(rèn)為是最安全的防火墻。它的核心技術(shù)就是代理服務(wù)器技術(shù)。 所謂代理服務(wù)器，是指代表客戶(hù)處理在服務(wù)器連接請(qǐng)求的程序。當(dāng)代理服務(wù)器得到一個(gè)客戶(hù)的連接意圖時(shí)，它們將核實(shí)客戶(hù)請(qǐng)求，并經(jīng)過(guò)特定的安全化的proxy應(yīng)用程序處理連接請(qǐng)求，將處理后的請(qǐng)求傳遞到真實(shí)的服務(wù)器上，然后接受服務(wù)器應(yīng)答，并做進(jìn)一步處理后，將答復(fù)交給發(fā)出請(qǐng)求的最終客戶(hù)。代理服務(wù)器在外部網(wǎng)絡(luò)向內(nèi)

6、部網(wǎng)絡(luò)申請(qǐng)服務(wù)時(shí)發(fā)揮了中間轉(zhuǎn)接的作用。代理類(lèi)型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于每一個(gè)內(nèi)外網(wǎng)絡(luò)之間的連接都要通過(guò)proxy的介入和轉(zhuǎn)換，通過(guò)專(zhuān)門(mén)為特定的服務(wù)如http編寫(xiě)的安全化的應(yīng)用程序進(jìn)行處理，然后由防火墻本身提交請(qǐng)求和應(yīng)答，沒(méi)有給內(nèi)外網(wǎng)絡(luò)的計(jì)算機(jī)以任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類(lèi)型的攻擊方式入侵內(nèi)部網(wǎng)。包過(guò)濾類(lèi)型的防火墻是很難徹底避免這一漏洞的。就像你要向一個(gè)陌生的重要人物遞交一份聲明一樣，如果你先將這份聲明交給你的律師，然后律師就會(huì)審查你的聲明，確認(rèn)沒(méi)有什么負(fù)面的影響后才由他交給那個(gè)陌生人。在此期間，陌生人對(duì)你的存在一無(wú)所知，如果要對(duì)你進(jìn)行侵犯，他面對(duì)的將是你的律師，

7、而你的律師當(dāng)然比你更加清楚該如何對(duì)付這種人。 圖3 傳統(tǒng)代理型防火墻 代理防火墻的最大缺點(diǎn)就是速度相對(duì)比較慢，當(dāng)用戶(hù)對(duì)內(nèi)外網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，（比如要求達(dá)到75-100mbps時(shí)）代理防火墻就會(huì)成為內(nèi)外網(wǎng)絡(luò)之間的瓶頸。所幸的是，目前用戶(hù)接入internet的速度一般都遠(yuǎn)低于這個(gè)數(shù)字。在現(xiàn)實(shí)環(huán)境中，要考慮使用包過(guò)濾類(lèi)型防火墻來(lái)滿足速度要求的情況，大部分是高速網(wǎng)（atm或千兆位以太網(wǎng)等）之間的防火墻。 第二代：自適應(yīng)代理防火墻 自適應(yīng)代理技術(shù)（adaptive proxy）是最近在商業(yè)應(yīng)用防火墻中實(shí)現(xiàn)的一種革命性的技術(shù)。它可以結(jié)合代理類(lèi)型防火墻的安全性和包過(guò)濾防火墻的高速度等優(yōu)點(diǎn)，在毫不

8、損失安全性的基礎(chǔ)之上將代理型防火墻的性能提高10倍以上。組成這種類(lèi)型防火墻的基本要素有兩個(gè)：自適應(yīng)代理服務(wù)器（adaptive proxy server）與動(dòng)態(tài)包過(guò)濾器（dynamic packet filter）。 圖4 自適應(yīng)代理防火墻 在自適應(yīng)代理與動(dòng)態(tài)包過(guò)濾器之間存在一個(gè)控制通道。在對(duì)防火墻進(jìn)行配置時(shí)，用戶(hù)僅僅將所需要的服務(wù)類(lèi)型、安全級(jí)別等信息通過(guò)相應(yīng)proxy的管理界面進(jìn)行設(shè)置就可以了。然后，自適應(yīng)代理就可以根據(jù)用戶(hù)的配置信息，決定是使用代理服務(wù)從應(yīng)用層代理請(qǐng)求還是從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)包。如果是后者，它將動(dòng)態(tài)地通知包過(guò)濾器增減過(guò)濾規(guī)則，滿足用戶(hù)對(duì)速度和安全性的雙重要求。 小資料 防火墻的故?

9、/font> 第一代防火墻 第一代防火墻技術(shù)幾乎與路由器同時(shí)出現(xiàn)，采用了包過(guò)濾（packet filter）技術(shù)。下圖表示了防火墻技術(shù)的簡(jiǎn)單發(fā)展歷史。 第二、三代防火墻 1989年，貝爾實(shí)驗(yàn)室的dave presotto和howard trickey推出了第二代防火墻，即電路層防火墻，同時(shí)提出了第三代防火墻應(yīng)用層防火墻（代理防火墻）的初步結(jié)構(gòu)。 第四代防火墻 1992年，usc信息科學(xué)院的bobbraden開(kāi)發(fā)出了基于動(dòng)態(tài)包過(guò)濾（dynamic packet filter）技術(shù)的第四代防火墻，后來(lái)演變?yōu)槟壳八f(shuō)的狀態(tài)監(jiān)視（stateful inspection）技術(shù)。1994年，以色列的che