防火墙的工作技术分类与基础原理介绍.pdf

防火墙的工作技术分类与基础原理介绍

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电

脑蠕虫或是木马程序的快速蔓延。这篇文章主要介绍了防火墙的工作

技术分类与基础原理,需要的朋友可以参考下

具体介绍

防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公

共网)或网络安全域之间的一系列部件的组合。它是不同网络或网络安

全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数

据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选

择地接受外部访问，对内部强化设备监管、控制对服务器与外部网络

的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不

可预测的、潜在的破坏性侵入。

防火墙有两种，硬件防火墙和软件防火墙，他们都能起到保护作

用并筛选出网络上的攻击者。在这里主要给大家介绍一下我们在企业

网络安全实际运用中所常见的硬件防火墙。

防火墙技术分类

防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶

段。

包过滤技术是一种简单、有效的安全控制技术，它通过在网络间

相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、

TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出

内部网络。包过滤的最大优点是对用户透明，传输性能高。但由于安

全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目

的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥

塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。

状态检测是比包过滤更为有效的安全控制方法。对新建的应用连

接，状态检测检查预先设置的安全规则，允许符合规则的连接通过，

并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续

数据包，只要符合状态表，就可以通过。这种方式的好处在于：由于

不需要对每个数据包进行规则检查，而是一个连接的后续数据包(通常

是大量的数据包)通过散列算法，直接进行状态检查，从而使得性能得

到了较大提高;而且，由于状态表是动态的，因而可以有选择地、动态

地开通1024号以上的端口，使得安全性得到进一步地提高。

1.包过滤技术

包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，

如IP地址。包过滤防火墙的工作原理是：系统在网络层检查数据包，

与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。但

是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无

感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。

包过滤防火墙工作原理图

包过滤防火墙工作在网络层，对数据包的源及目地IP具有识别和

控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的

端口信息。现在的路由器、SwitchRouter以及某些操作系统已经具有

用PacketFilter控制的能力。

由于只对数据包的IP地址、TCP/UDP协议和端口进行分析，包过

滤防火墙的处理速度较快，并且易于配置。

包过滤防火墙具有根本的缺陷：

不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网

管知道哪些IP是可信网络，哪些是不可信网络的IP地址。但是随着远

程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的

界限，对于黑客来说，只需将源IP包改成合法IP即可轻松通过包过滤

防火墙，进入内网，而任何一个初级水平的黑客都能进行IP地址欺骗。

不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员

工访问外网的网页(使用HTTP协议)，不允许去外网下载电影(一般使

用FTP协议)。包过滤防火墙无能为力，因为它不认识数据包中的应用

层协议，访问控制粒度太粗糙。不能处理新的安全威胁。它不能跟踪

TCP状态，所以对TCP层的控制有漏洞。如当它配置了仅允许从内到

外的TCP访问时，一些以TCP应答包的形式从外部对内网进行的攻击

仍可以穿透防火墙。

综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能

根据访客来自哪个省市来判断是否允许他(她)进入一样，难以履行保护

内网安全的职责。

2.应用网关防火墙

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息

放入决策过程，从而提高网络的安