1、防火墻的核心技術(shù)及工作原理防火墻是一種高級訪問控制設(shè)備，置于不同網(wǎng)絡(luò)安全域之間，它通過相關(guān)的 安全策略來控制（允許、拒絕、監(jiān)視、記錄）進(jìn)出網(wǎng)絡(luò)的訪問行為。防火墻的包 含如下幾種核心技術(shù):包過濾技術(shù)包過濾防火墻技術(shù)原理TRL>< SHIFTtct tmtw晌火能不界立*斥擢文無茨v包過濾技術(shù)是一種簡單、有效的安全控制技術(shù)，它工作在網(wǎng)絡(luò)層，通過在網(wǎng)絡(luò)間相互連接的設(shè)備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規(guī)則，對通過設(shè)備的數(shù)據(jù)包進(jìn)行檢查，限制數(shù)據(jù)包進(jìn)出內(nèi)部網(wǎng)絡(luò)。包過濾的最大優(yōu)點是對用戶透明，傳輸性能高。但由于安全控制層次在網(wǎng)絡(luò) 層、傳輸層，安全控制的力度也只限于源

2、地址、目的地址和端口號，因而只能進(jìn) 行較為初步的安全控制，對于惡意的擁塞攻擊、內(nèi)存覆蓋攻擊或病毒等高層次的 攻擊手段，則無能為力。應(yīng)用代理技術(shù)應(yīng)用代理防火端技術(shù)原理T«' F *tIIIht«:t jhml«aarr, ci柑負(fù) 不KT血逋據(jù)就贏羅應(yīng)用代理防火墻工作在 OSI的第七層，它通過檢查所有應(yīng)用層的信息包，并 將檢查的內(nèi)容信息放入決策過程，從而提高網(wǎng)絡(luò)的安全性。應(yīng)用網(wǎng)關(guān)防火墻是通過打破客戶機(jī)/服務(wù)器模式實現(xiàn)的。每個客戶機(jī)/服務(wù)器通信需要兩個連接：一個是從客戶端到防火墻，另一個是從防火墻到服務(wù)器。 另外，每個代理需要一個不同的應(yīng)用進(jìn)程， 或一個后臺運(yùn)

3、行的服務(wù)程序，對每個 新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序， 否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng) 關(guān)防火墻具有可伸縮性差的缺點。狀態(tài)檢測技術(shù)狀態(tài)檢測防火墻工作在 OSI的第二至四層，采用狀態(tài)檢測包過濾的技術(shù)，是 傳統(tǒng)包過濾功能擴(kuò)展而來。狀態(tài)檢測防火墻在網(wǎng)絡(luò)層有一個檢查引擎截獲數(shù)據(jù)包 并抽取出與應(yīng)用層狀態(tài)有關(guān)的信息，并以此為依據(jù)決定對該連接是接受還是拒 絕。這種技術(shù)提供了高度安全的解決方案， 同時具有較好的適應(yīng)性和擴(kuò)展性。 狀 態(tài)檢測防火墻一般也包括一些代理級的服務(wù)，它們提供附加的對特定應(yīng)用程序數(shù) 據(jù)內(nèi)容的支持。狀態(tài)檢測防火墻基本保持了簡單包過濾防火墻的優(yōu)點，性能比較好，同時對應(yīng)用是透明的，在此基

4、礎(chǔ)上，對于安全性有了大幅提升。這種防火墻摒棄了簡單 包過濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包， 不關(guān)心數(shù)據(jù)包狀態(tài)的缺點，在防火墻 的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個個的事件 來處理。主要特點是由于缺乏對應(yīng)用層協(xié)議的深度檢測功能，無法徹底的識別數(shù) 據(jù)包中大量的垃圾郵件、廣告以及木馬程序等等。完全內(nèi)容檢測技術(shù)完全內(nèi)容檢測技術(shù)防火墻綜合狀態(tài)檢測與應(yīng)用代理技術(shù)，并在此基礎(chǔ)上進(jìn)一步基于多層檢測架構(gòu)，把防病毒、內(nèi)容過濾、應(yīng)用識別等功能整合到防火墻里， 其中還包括IPS功能，多單元融為一體，在網(wǎng)絡(luò)界面對應(yīng)用層掃描，把防病毒、 內(nèi)容過濾與防火墻結(jié)合起來，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路，（因此也被稱為“下一代防火墻技術(shù)”。它在網(wǎng)絡(luò)邊界實施OSI第七層的內(nèi)容掃描，實現(xiàn)了實 時在網(wǎng)絡(luò)邊緣布署病毒防護(hù)、內(nèi)容過濾等應(yīng)用層服務(wù)措施。完全內(nèi)容檢測技術(shù)防