防火墙原理基础（1）

　　 
　　防火墙原理基础
　　 防火墙能增强机构内部网络的安全性。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的服务以及哪些外部服务可以被内部人员访问。防火墙必须只允许授权的数据通过，而且防火墙本身也必须能够免于渗透。

　　■防火墙的五大功能

　　一般来说，防火墙具有以下几种功能：

　　1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。

　　2．可以很方便地监视网络的安全性，并报警。

　　3．可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

　　4．是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

缺点

定义复杂，容易出现因配置不当带来问题

速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用

允许数据包直接通过，容易造成数据驱动式攻击的潜在危险

不能理解特定服务的上下文环境，相应控制只能在高层由代理服务和应用层网关来完成

　　5．可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。

　　■防火墙的两大分类

　　尽管防火墙的发展经过了上述的几代，但是按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系：包过滤防火墙和代理防火墙（应用层网关防火墙）。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。

　　1． 包过滤防火墙

　　第一代：静态包过滤

　　这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是"最小特权原则"，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。

图1 简单包过滤防火墙

　　第二代：动态包过滤

　　这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更新条目。

图2 动态包过滤防火墙

原文转自：http://www.ltesting.net