防火墙技术：包过滤与应用网关

在电子商务的应用中，企业内部网络必须与外部网络如因特网进行连接，这就使企业的内部网络系统置于公开的被攻击状态。为了保护企业的内部网络系统的安全，设置防火墙是最普遍的手段。

(一) 防火墙的原理

1. 防火墙的概念

防火墙的本义是指古代人们在房屋之间修建的一道墙，可以防止火灾发生的时候蔓延到别的房屋。网络上的防火墙不是指物理上的防火墙，而是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。

防火墙是一种非常有效的网络安全模型。在因特网上，通过它来隔离风险区域(外网或有一定风险的网络)与安全区域(局域网)的连接，但不妨碍人们对风险区域的访问。防火墙内的网络通常叫可信网络，而防火墙外的网络叫不可信网络。防火墙相当于一个过滤设备，它允许特定的信息流入或流出被保护的网络。在理想的情况下，防火墙保护应保护未经授权的用户访问防火墙内的网络，从而保护敏感信息。同时又不能妨碍合法用户，在防火墙之外的员工应能访问防火墙所保护的网络和数据文件。

2. 防火墙的特征

(1) 由内到外和由外到内的所有访问都必须通过它。

(2) 只有本地安全策略所定义的合法访问才被允许通过它。

(3) 防火墙本身无法被穿透。

3. 防火墙的目的

(1) 限制他人进入内部网络，过滤掉不安全服务和非法用户。

(2) 防止入侵者接近你的防御设施。

(3) 限定人们访问特殊站点。

(4) 为监视因特网安全提供方便。(www.xing528.com)

(二) 防火墙的技术

1. 包过滤防火墙

包过滤(packet filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(access control table)，也叫网络级防火墙。包过滤防火墙通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，通常安装在路由器上。路由器是内部网络与因特网连接必不可少的设备，因此，在原有网络上增加这样的防火墙几乎不需要任何额外的费用。

数据包过滤防火墙有两个缺点:一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击;二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

2. 应用级网关防火墙

应用级网关(application level gateways)防火墙是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。

数据包过滤和应用网关防火墙有一个共同的特点，就是仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

3. 代理服务器防火墙

代理服务器(proxy service)防火墙也称链路级(或电路级)网关或TCP通道(circuit level gateways or TCP tunnels)，也有人将它归于应用级网关一类。是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

4. 规则检查防火墙

该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样，规则检查防火墙能够在OSI网络层上通过IP地址和端口号，过滤进出的数据包。它也像电路级网关一样，能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也像应用级网关一样，可以在OSI应用层上检查数据包的内容，查看这些内容是否能符合企业网络的安全规则。规则检查防火墙虽然集成前三者的特点，但是不同于一个应用级网关防火墙的是，它并不打破客户机/服务器模式来分析应用层的数据，它允许受信任的客户机和不受信任的主机建立直接连接。规则检查防火墙不依靠与应用层有关的代理，而是依靠某种算法来识别进出的应用层数据，这些算法通过已知合法数据包的模式来比较进出数据包，这样从理论上就能比应用级代理在过滤数据包上更有效。

第三方支付(PCI DSS)合作伙伴防火墙和入侵检测系统，如图9-9所示。