防火墙技术演进-网络安全技术与实例

防火墙技术演进如图2.2所示。

图2.2 防火墙技术演进

最早出现并获得广泛应用的是包过滤防火墙，也称为第一代防火墙。最基本的包过滤防火墙根据OSI模型的网络层参数（如源IP地址和目的IP地址等）和传输层参数（如源端口和目的端口等）检查通过的数据包，再由预定义在防火墙中的报文过滤规则确定哪些数据包允许通过，哪些数据包禁止通过。包过滤防火墙技术的核心思想是过滤规则的定义和实施，其优点是简单、易于理解和维护，但其缺点也是非常明显的，它只能工作在网络层和传输层，不能识别和判断高级协议中的数据是否有害，也不能防御诸如SYN Flood和ICMP Flood等攻击。因此，人们需要一种更为全面的防火墙保护技术，在这样的需求背景下，出现了应用代理防火墙技术。(www.xing528.com)

应用代理防火墙亦称作应用层网关防火墙，或基于代理服务器的防火墙，因为它会代理各种网络客户端执行应用层连接，即提供代理服务器。应用代理防火墙与包过滤防火墙技术有很大的不同，其所有访问都在应用层中控制，因此，可以实现更高级的数据检测过程。整个代理防火墙可以看作是一条透明线路，在内部网络和外部网络来看，它们之间的连接并没有任何阻隔，但是这个连接的数据收发实际上是经过代理防火墙转向的。当外部数据进入代理防火墙时，应用协议分析模块便根据应用层协议处理这个数据，通过预制的处理规则查询数据是否带有危害，由于应用层看到的已经不再是组合有限的报文协议，甚至可以识别类似于“GET／sql.asp？id＝1and1”的数据内容，所以防火墙不仅能根据数据层提供的信息判断数据，更能像管理员分析服务器日志那样“看”内容而辨别危害。而且由于工作在应用层，防火墙还可以实现双向限制，在过滤外部网络有害数据的同时也监控着内部网络的信息，管理员可以配置防火墙，实现身份验证和连接时限控制的功能，进一步防止内部网络信息泄露，可以说，应用代理是比包过滤技术更完善的防火墙技术。但是，应用代理防火墙的结构特征正是它的最大缺点，由于是基于代理技术的，通过防火墙的每个连接都必须建立在为之创建的代理程序进程上，而代理进程自身是要消耗一定时间的，更何况代理进程里还有一套复杂的协议分析机制在同时工作，所以数据在通过代理防火墙时就不可避免地发生数据迟滞的现象。换个形象的说法，每个数据连接在经过代理防火墙的时候都会先被“请进保安室，喝杯茶，搜搜身”再继续“赶路”，而“保安”的工作效率并不高。代理防火墙以牺牲速度为代价，换取了比包过滤防火墙更高的安全性能，在网络吞吐量不是很大的情况下，也许用户不会察觉到什么，然而到了数据交换频繁的时刻，代理防火墙就成了整个网络的瓶颈，而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生“罢工”，整个网络可能就会因此瘫痪。所以，代理防火墙的普及范围还远远不及包过滤防火墙。

继包过滤技术和应用代理技术之后，CheckPoint公司提出了状态检测（stateful inspection）防火墙技术，其工作方式类似于包过滤防火墙，只是采用了更为复杂的访问控制算法。它在保留对每个数据包的头部、协议、地址、端口、类型等信息进行分析的基础上，进一步发展了会话过滤（session filtering）功能，在每个连接建立时，防火墙会为这个连接构造一个会话状态，里面包含了这个连接数据包的所有信息，以后这个连接都基于这个状态信息进行。这种检测的高明之处是能对每个数据包的内容进行监视，一旦建立了会话状态，则此后的数据传输都要以此会话状态作为依据，例如一个连接的数据包源端口是8 000，那么在以后的数据传输过程里防火墙都会审核这个数据包的源端口还是不是8 000，否则这个数据包就被拦截。而且会话状态的保留是有时间限制的，在超时的范围内如果没有再进行数据传输，此会话状态就会被丢弃。状态检测可以对数据包的内容进行分析，从而摆脱了传统防火墙仅局限于几个包头部信息的检测弱点，而且这种防火墙不必开放过多端口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。由于状态检测技术相当于结合了包过滤技术和应用代理技术，因此是最先进的防火墙技术。