计算机网络基础|防火墙技术概述

1.包过滤

包过滤（Packet Filtering）在网络层依据系统的过滤规则，对数据包进行选择和过滤，这种规则又称为访问控制表（ACL）。该技术通过检查数据流中的每个数据包的源地址、目标地址、源端口、目的端口及协议状态或它们的组合来确定是否允许该数据包通过。这种防火墙通常安装在路由器上。

一般而言，包过滤包括两种基本类型：无状态检查的包过滤和有状态检查的包过滤，其区别在于后者通过记住防火墙的所有通信状态，并根据状态信息来过滤整个通信流，而不仅仅是包。另外，两者均被配置为只过滤最有用的数据域，包括协议类型，IP 地址、TCP/UDP 端口、分段口和源路由信息，但还是有许多方法可绕过包过滤器进入Internet，原因在于：

（1）TCP 只能在第0 个分段中被过滤。

（2）特洛伊木马可以使用NAT 使包过滤器失效。

（3）许多包过滤器允许1 024 以上的端口通过。

因此，“纯”包过滤器的防火墙不能完全保证内部网的安全，必须与代理服务器和网络地址翻译结合起来才能解决问题。

2.代理型(www.xing528.com)

代理服务技术（应用层网关防火墙）是防火墙技术中使用得较多的技术，也是一种安全性能较高的技术，它的安全性要高于包过滤技术，并已经开始向应用层发展。代理服务器位于客户机与服务器之间，完全阻挡了二者间的数据交流。从客户机来看，代理服务器相当于一台真正的服务器；而从服务器来看，代理服务器又是一台真正的客户机。当客户机需要使用服务器上的数据时，先将数据请求发给代理服务器，代理服务器再根据这一请求向服务器索取数据，然后再由代理服务器将数据传输给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的恶意侵害也就很难伤害到企业内部网络系统。

（1）代理服务技术的优点：安全性较高；能有效对付基于应用层的侵入和病毒；可将内部网络的结构屏蔽起来；能针对协议实现其特有的安全特性；具有数据流监控、过滤、记录、报警等功能。

（2）代理服务技术的缺点：必须为每一个网络应用服务都专门开发相应的应用代理服务软件；系统管理复杂；需要专用的服务器来承担。

3.监测型

监测型（状态检测防火墙）防火墙是新一代产品，能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种监测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。各类防火墙的对比如表9.2所示。

表9.2　防火墙对比