1 防火墙概念

    作为现代技术层面上非常好的一个网络安全屏障，防火墙是由硬件和软件设备组合而成的，人们往往将其设置在受保护的网络和外部网络之间从而可以实现对网络的保护。在设计防火墙系统的过程中，阻塞点、最小特权、故障安全状态、纵深防御、最薄弱的环节简化等原则是我们一定要遵循的。

    2 防火墙的分类及其优缺点

    2.1包过滤防火墙

    包过滤防火墙可以对经过网络的包的包头进行查询，从而决定包的未来定向。通过包过滤防火墙，有些包被丢弃，有些包经过，有些包被用来进行其它的处理。

    包过滤防火墙具有以下优点：所有经过的网络数据包都会由其实现低层次的控制；每个IP数据包都进行领域检查；如果经过网络的包带有欺骗性源IP地址的，那么它就会被防火墙识别并丢弃；为了实现两个网络之间进行访问，我们必须经由包过滤防火墙；路由器数据包中通常包含包过滤，所以不需要另外添加系统进行处理。

    包过滤防火墙有以下缺点：很难进行配置，因为包过滤防火墙具有复杂性的特性，可能导致一些必要规则的建立被人忘记，也可能导致不能正确的进行配置；人们可能会使用其他的一些方法使得防火墙不能察觉。

    2.2状态/动态检测防火墙

    状态/动态检测防火墙通过试图跟踪通过防火墙的网络连接和数据包，从而使防火墙使用一个额外的准则，以确定是否允许和拒绝通信。

    状态/动态检测防火墙有以下优点：它基于遵守包中信息过滤规则，并检测IP数据包的所有字段；确定源IP地址伪造数据包的能力：根据应用程序信息并推断出该包所处的状态信息；记录所有通过网络的包的信息。

    状态/动态检测防火墙有以下缺点：记录的所有的信息，测试和分析可能导致的网络延时，在同一时间，如果有很多连接在被使用，或网络中正在运行大流量的软件的时候会显得更加明易。

    2.3应用程序代理防火墙

    应用代理防火墙可以接受来自内部网络特定的用户应用程序的通信，然后创建一个单独的Web服务器的公共访问。由于内网用户不能实现与外部服务器的直接通信，使得所有的内部网络均拒绝服务器的访问。

    应用程序代理防火墙有以下优点：指定连接控制；通过对某些协议请求的蔓延，减少不必要的网络服务；代理防火墙的大部分记录，包括地址和时间的连接。

    应用代理防火墙有以下缺点：用户的系统的设定有特定的范围，这根据应用程序的不同而有所不同；在网络中某些部位根本不支持代理连接的使用。

[page]    2.4 NAT

    NAT是经常用于居民区、小型会议室的协议，通过NAT协议内部网络的多个IP地址可以被转换到一个大家都知道的地址并转发到Internet上。

    NAT有如下优点：外界没有任何途径可以获得任何内部人的IP地址；当公共IP地址资源不足时，通过NAT的使用，只需要一个单独的IP地址即可实现所有的访问；如果所有传入的数据包没有特定的NAT的话，就会将其丢弃，在这种情况下，它可以实现对基本的包过滤防火墙安全机制的启用。

    NAT有如下缺点：虽然它在一定程度上起到保护内部网络的安全的目的，但它也有很多局限，如果内部网络的木马使用一些外部连接做NAT，那么它就会非常容易的实现对防火墙的穿越。

    2.5个人防火墙

    个人防火墙可以运行在用户的计算机上，用于保护个人电脑系统的安全，它和状态/动态检测防火墙使用相似的方法来保护电脑免受攻击。

    个人防火墙有如下优点：提高了保护水平，从而节约了设备；外部攻击和内部攻击都很攻克个人防火墙；由于个人防火墙的使用，使得公共网络系统中的单一系统得到了相应的保护。个人防火墙有如下缺点：个人防火墙的主要缺点是只有一个外网可以连接的接口，这使得个人防火墙本身可能是脆弱的。

    3 防火墙技术

    3.1包过滤技术

    包过滤技术是网络监控和过滤的IP数据包流入和流出的原则，不执行对可疑包的发送。根据不同协议的要求，路由器在端口对数据包进行归类和划分的能力被称为包过滤。由于因特网和内联网的大部分连接使用路由器作必要的内部和外部的通讯端口，所以路由器生产厂商在路由器的基础上额外使其增加了IP过滤功能，我们把这种路由器也称为数据包过滤或筛选路由器。通常情况下，我们使用的防火墙就是这样一种简单的可以过滤包的路由器，只要配置合理，还是相对比较安全的。

    3.2代理服务技术

    Proxy Server是实现安全的一种非常重要的功能，它主要工作在开放系统互联模型的对话层，是运行在防火墙主机上的一些特定的应用程序或者服务器程序。它的工作模块是基于软件形式的，但是它和过滤数据包的防火墙、以路由器为基础的防火墙的工作方式还是有一些不同的地方，它大多被用来实现网络之间的互连。

    通常，我们使用网络浏览器直接去连接其他网络站点来获取网络信息的时候，我们直接连接到想要达到的站点的服务器，然后通过该服务器把我们想要得到的信息传送回来。代理服务器的功能介于客户端和Web服务器之间，通过它的使用，使得浏览器可以直接向代理服务器发出请求，而不需要再到Web服务器中取回网页。

    就像一个高速缓冲存储器一样，大部分代理服务器也具备缓存功能，并且具有足够存储空间，源源不断将最新获得的数据存储到本机的存储器上，如果浏览器所想要得到的数据已经出现在本机的存储器上并且被存储器更新，那么它就停止从Web服务器上继续获得数据，而是将存储器上的数据直接传送给用户的浏览器，从而使得浏览速度和效率都获得显著的提高。

[page]    3.3应用层网关（ALG）

    应用层网关也叫应用层防火墙或应用层代理防火墙，通常被描述为第三代防火墙。当受信任网络上的用户打算连接到不受信任网络上的服务时，该应用被引导至防火墙中的代理服务器。由于在代理服务中，内外各个站点之间的连接被切断了，都必须经过代理方才能相互连接，所以说代理服务器可以伪装成网络上实际的服务器而不会被察觉。它可以对请求进行评估，并根据一套单个网络服务的规则决定允许或拒绝该请求。应用层网关代理防火墙工作原理如图1所示。

    图1 应用层网关

    3.4网络地址转换（NAT）

    网络地址转换属接入广域网（WAN）技术，是一个Internet工程任务组标准，通过该技术的使用，我们可以将私有（保留）地址转化为合法的IP地址。它在多种不同类型Internet接入方式和多种不同类型的网络中得到了广泛的应用，它可以使得具有特定功能的网络上使用特定地址段的多台PC可以实现对单个或全局路由的IPv4地址的共享，即它支持网络上的一个单一的地址对一个单一机构的代理。通过NAT的使用，不仅增加了IP地址使用的宽度，而且能够对内、外网络实现很好的隔离作用，从而使得网络安全得到了保障。

    NAT设备具有如下的功能：它可以实现对一个状态表的维护，该状态表可以实现将内部IP地址映射到合法IP地址上的功能。同时，内部网络的数据包经过NAT设备以后将会被翻译成正确的IP地址并被发往下一级。NAT设备会对经过的数据包的包头信息进行相应的修改，从而将原本用于网络中的地址修改为专属于NAT设备的网络地址。

    3.5安全服务器网络（SSN）

    为了能够实现逐年增加的用户在使用网络信息时对网络安全进行保护的要求，在设计出的最新防火墙技术中，我们将实现对用户上网的分别保护，它功能的实现主要依赖于它利用一张网卡实现对外服务器功能的分割处理，使得对外服务器既处于内部网络中，又不与内部网关有任何的接触。这种技术被称为安全服务器网络（SSN）技术，通过该技术的使用，我们既可以分别处理服务器网络上的主机，也可将其转换成FTP，Telnet的形式并从内部网上进行处理。

    4 结语

    防火墙技术是现今非常重要的一种网络安全技术，它简单实用，透明度高，可被用于消除当前网络通信以及资源共享过程中遇到的种种安全威胁，对提高网络通信的安全性以及保密性具有非常重要的作用。随着计算机技术的发展，防火墙技术的研究将会变得越来越重要，也会越来越受到广大网络用户的关注和青睐。

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。