防火墻的常用三種技術導讀：我根據大家的需要整理了一份關于《防火墻的常用三種技術》的內容，具體內容：關于防火墻常用的三種技術你們知道是哪三個嗎？如果不知道的話，下面就由我來帶大家學習一下防火墻的三種常用技術吧。：1.包過濾技術包過濾是最早使用的一種防火墻技術，...關于防火墻常用的三種技術你們知道是哪三個嗎？如果不知道的話，下面就由我來帶大家學習一下防火墻的三種常用技術吧。：包過濾技術包過濾是最早使用的一種防火墻技術，它的第一代模型是〃靜態包過濾"(StaticPacketFiltering)，使用包過濾技術的防火墻通常工作在OSI模型中的網絡層(NetworkLayer)上，后來發展更新的〃動態包過濾"(DynamicPacketFiltering)增加了傳輸層(TransportLayer)，簡而言之，包過濾技術工作的地方就是各種基于TCP/IP協議的數據報文進出的通道，它把這兩層作為數據監控的對象，對每個數據包的頭部、協議、地址、端口、類型等信息進行分析，并與預先設定好的防火墻過濾規則(FilteringRule)進行核對，一旦發現某個包的某個或多個部分與過濾規則匹配并且條件為〃阻止〃的時候，這個包就會被丟棄。適當的設置過濾規則可以讓防火墻工作得更安全有效，但是這種技術只能根據預設的過濾規則進行判斷，一旦出現一個沒有在設計人員意料之中的有害數據包請求，整個防火墻的保護就相當于擺設了。也許你會想，讓用戶自行添加不行嗎?但是別忘了，我們要為是普通計算機用戶考慮，并不是所有人都了解網絡協議的，如果防火墻工具出現了過濾遺漏問題，他們只能等著被入侵了。一些公司采用定期從網絡升級過濾規則的方法，這個創意固然可以方便一部分家庭用戶，但是對相對比較專業的用戶而言，卻不見得就是好事，因為他們可能會有根據自己的機器環境設定和改動的規則，如果這個規則剛好和升級到的規則發生沖突，用戶就該郁悶了，而且如果兩條規則沖突了，防火墻該聽誰的，會不會當場〃死給你看〃（崩潰）？也許就因為考慮到這些因素，至今我沒見過有多少個產品會提供過濾規則更新功能的，這并不能和殺毒軟件的病毒特征庫升級原理相提并論。為了解決這種魚與熊掌的問題，人們對包過濾技術進行了改進，這種改進后的技術稱為〃動態包過濾〃（市場上存在一種〃基于狀態的包過濾防火墻〃技術，即Stateful-basedPacketFiltering，他們其實是同一類型），與它的前輩相比，動態包過濾功能在保持著原有靜態包過濾技術和過濾規則的基礎上，會對已經成功與計算機連接的報文傳輸進行跟蹤，并且判斷該連接發送的數據包是否會對系統構成威脅，一旦觸發其判斷機制，防火墻就會自動產生新的臨時過濾規則或者把已經存在的過濾規則進行修改，從而阻止該有害數據的繼續傳輸，但是由于動態包過濾需要消耗額外的資源和時間來提取數據包內容進行判斷處理，所以與靜態包過濾相比，它會降低運行效率，但是靜態包過濾已經幾乎退出市場了，我們能選擇的，大部分也只有動態包過濾防火墻了。基于包過濾技術的防火墻，其缺點是很顯著的：它得以進行正常工作的一切依據都在于過濾規則的實施，但是偏乂不能滿足建立精細規則的要求(規則數量和防火墻性能成反比)，而且它只能工作于網絡層和傳輸層，并不能判斷高級協議里的數據是否有害，但是由于它廉價，容易實現，所以它依然服役在各種領域，在技術人員頻繁的設置下為我們工作著。2、應用代理技術由于包過濾技術無法提供完善的數據保護措施，而且一些特殊的報文攻擊僅僅使用過濾的方法并不能消除危害(如SYN攻擊、ICMP洪水等)，因此人們需要一種更全面的防火墻保護技術，在這樣的需求背景下，采用〃應用代理”(ApplicationProxy)技術的防火墻誕生了。我們的讀者還記得〃代理〃的概念嗎?代理服務器作為一個為用戶保密或者突破訪問限制的數據轉發通道，在網絡上應用廣泛。我們都知道，一個完整的代理設備包含一個服務端和客戶端，服務端接收來自用戶的請求，調用自身的客戶端模擬一個基于用戶請求的連接到目標服務器，再把目標服務器返回的數據轉發給用戶，完成一次代理工作過程。那么，如果在一臺代理設備的服務端和客戶端之間連接一個過濾措施呢?這樣的思想便造就了〃應用代理〃防火墻，這種防火墻實際上就是一臺小型的帶有數據檢測過濾功能的透明代理服務器(TransparentProxy)，但是它并不是單純的在一個代理設備中嵌入包過濾技術，而是一種被稱為〃應用協議分析“(ApplicationProtocolAnalysis)的新技術。〃應用協議分析〃技術工作在OSI模型的最高層一一應用層上，在這一層里能接觸到的所有數據都是最終形式，也就是說，防火墻〃看到〃的數據和我們看到的是一樣的，而不是一個個帶著地址端口協議等原始內容的數據包，因而它可以實現更高級的數據檢測過程。整個代理防火墻把自身映射為一條透明線路，在用戶方面和外界線路看來，它們之間的連接并沒有任何阻礙，但是這個連接的數據收發實際上是經過了代理防火墻轉向的，當外界數據進入代理防火墻的客戶端時，〃應用協議分析〃模塊便根據應用層協議處理這個數據，通過預置的處理規則（沒錯，乂是規則，防火墻離不開規則）查詢這個數據是否帶有危害，由于這一層面對的已經不再是組合有限的報文協議，甚至可以識別類似于〃GET/sql.asp?id=1and1〃的數據內容，所以防火墻不僅能根據數據層提供的信息判斷數據，更能像管理員分析服務器日志那樣〃看〃內容辨危害。而且由于工作在應用層，防火墻還可以實現雙向限制，在過濾外部網絡有害數據的同時也監控著內部網絡的信息，管理員可以配置防火墻實現一個身份驗證和連接時限的功能，進一步防止內部網絡信息泄漏的隱患。最后，由于代理防火墻采取是代理機制進行工作，內外部網絡之間的通信都需先經過代理服務器審核，通過后再由代理服務器連接，根本沒有給分隔在內外部網絡兩邊的計算機直接會話的機會，可以避免入侵者使用〃數據驅動〃攻擊方式（一種能通過包過濾技術防火墻規則的數據報文，但是當它進入計算機處理后，卻變成能夠修改系統設置和用戶數據的惡意代碼）滲透內部網絡，可以說，〃應用代理〃是比包過濾技術更完善的防火墻技術。但是，似乎任何東西都不可能逃避〃墨菲定律〃的規則，代理型防火墻的結構特征偏偏正是它的最大缺點，由于它是基于代理技術的，通過防火墻的每個連接都必須建立在為之創建的代理程序進程上，而代理進程自身是要消耗一定時間的，更何況代理進程里還有一套復雜的協議分析機制在同時工作，于是數據在通過代理防火墻時就不可避免的發生數據遲滯現象，換個形象的說法，每個數據連接在經過代理防火墻時都會先被請進保安室喝杯茶搜搜身再繼續趕路，而保安的工作速度并不能很快。代理防火墻是以犧牲速度為代價換取了比包過濾防火墻更高的安全性能，在網絡吞吐量不是很大的情況下，也許用戶不會察覺到什么，然而到了數據交換頻繁的時刻，代理防火墻就成了整個網絡的瓶頸，而且一旦防火墻的硬件配置支撐不住高強度的數據流量而發生罷工，整個網絡可能就會因此癱瘓了。所以，代理防火墻的普及范圍還遠遠不及包過濾型防火墻，而在軟件防火墻方面更是幾乎沒見過類似產品了一一單機并不具備代理技術所需的條件，所以就目前整個龐大的軟件防火墻市場來說，代理防火墻很難有立足之地。3、狀態檢測技術這是繼〃包過濾〃技術和〃應用代理〃技術后發展的防火墻技術，它是CheckPoint技術公司在基于〃包過濾〃原理的〃動態包過濾〃技術發展而來的，與之類似的有其他廠商聯合發展的〃深度包檢測〃(DeepPacketInspection)技術。這種防火墻技術通過一種被稱為〃狀態監視〃的模塊，在不影響網絡安全正常工作的前提下采用抽取相關數據的方法對網絡通信的各個層次實行監測，并根據各種過濾規則作出安全決策。〃狀態監視〃(StatefulInspection)技術在保留了對每個數據包的頭部、協議、地址、端口、類型等信息進行分析的基礎上，進一步發展了〃會話過濾“(SessionFiltering)功能，在每個連接建立時，防火墻會為這個連接構造一個會話狀態，里面包含了這個連接數據包的所有信息，以后這個連接都基于這個狀態信息進行，這種檢測的高明之處是能對每個數據包的內容進行監視，一旦建立了一個會話狀態，則此后的數據傳輸都要以此會話狀態作為依據，例如一個連接的數據包源端口是8000，那么在以后的數據傳輸過程里防火墻都會審核這個包的源端口還是不是8000，否則這個數據包就被攔截，而且會話狀態的保留是有時間限制的，在超時的范圍內如果沒有再進行數據傳輸，這個會話狀態就會被丟棄。狀態監視可以對包內容進行分析，從而擺脫了傳統防火墻僅局限于幾個包頭部信