防火墙技术综述.pdfVIP

防火墙技术综述

防火墙技术综述

Internet的迅速发展给现代人的生产和生活都带来了前所未有

的飞跃，大大提高了工作效率，丰富了人们的生活，弥补了人们的精

神空缺；而与此同时给人们带来了一个日益严峻的问题―――网络安全。

网络的安全性成为当今最热门的话题之一，很多企业为了保障自身服

务器或数据安全都采用了防火墙。随着科技的发展，防火墙也逐渐被

大众所接受。但是，由于防火墙是属于高科技产物，许多的人对此还

并不是了解的十分透彻。而这篇文章就是给大家讲述了防火墙工作的

方式，以及防火墙的基本分类，并且讨论了每一种防火墙的优缺点。

一、防火墙的基本分类

1．包过滤防火墙

第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或

者丢弃，或者放行，取决于所建立的一套规则。这称为包过滤防火墙。

本质上，包过滤防火墙是多址的，表明它有两个或两个以上网

络适配器或接口。例如，作为防火墙的设备可能有两块网卡(NIC)，

一块连到内部网络，一块连到公共的Internet。防火墙的任务，就是

作为“通信警察”，指引包和截住那些有危害的包。包过滤防火墙检

查每一个传入包，查看包中可用的基本信息（源地址和目的地址、端

口号、协议等）。然后，将这些信息与设立的规则相比较。如果已经

设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会

1

被丢弃。如果允许传入Web连接，而目的端口为80，则包就会被

放行。

多个复杂规则的组合也是可行的。如果允许Web连接，但只针

对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可

以让该包通过。

最后，可以确定当一个包到达时，如果对该包没有规则被定义，

接下来将会发生什么事情了。通常，为了安全起见，与传入规则不匹

配的包就被丢弃了。如果有理由让该包通过，就要建立规则来处理它。

建立包过滤防火墙规则的例子如下：

l对来自专用网络的包，只允许来自内部地址的包通过，因为其

他包包含不正确的包头部信息。这条规则可以防止网络内部的任何人

通过欺骗性的源地址发起攻击。而且，如果黑客对专用网络内部的机

器具有了不知从何得来的访问权，这种过滤方式可以阻止黑客从网络

内部发起攻击。

l在公共网络，只允许目的地址为80端口的包通过。这条规则

只允许传入的连接为Web连接。这条规则也允许与Web连接使用

相同端口的连接，所以它并不是十分安全。

l丢弃从公共网络传入的包，而这些包都有你的网络内的源地址，

从而减少IP欺骗性的攻击。

l丢弃包含源路由信息的包，以减少源路由攻击。要记住，在源

路由攻击中，传入的包包含路由信息，它覆盖了包通过网络应采取得

正常路由，可能会绕过已有的安全程序。通过忽略源路由信息，防火

2

墙可以减少这种方式的攻击。

2．状态/动态检测防火墙

状态/动态检测防火墙，试图跟踪通过防火墙的网络连接和包，

这样防火墙就可以使用一组附加的标准，以确定是否允许和拒绝通信。

它是在使用了基本包过滤防火墙的通信上应用一些技术来做到这点

的。

当包过滤防火墙见到一个网络包，包是孤立存在的。它没有防火

墙所关心的历史或未来。允许和拒绝包的决定完全取决于包自身所包

含的信息，如源地址、目的地址、端口号等。包中没有包含任何描述

它在信息流中的位置的信息，则该包被认为是无状态的；它仅是存在

而已。

一个有状态包检查防火墙跟踪的不仅是包中包含的信息。为了跟

踪包的状态，防火墙还记录有用的信息以帮助识别包，例如

已有的网络连接、数据的传出请求等。

例如，如果传入的包包含视频数据流，而防火墙可能已经记录了

有关信息，是关于位于特定IP地址的应用程序最近向发出包的源地

址请求视频信号的信息。如果传入的包是要传给发出请求的相同系统，

防火墙进行匹配，包就可以被允许通过。

一个状态/动态检测防火墙可截断所有传入的通信，而允