防火墙技术介绍

防火墙技术介绍严峻的网络安全形势，促进了防火墙技术的不断发展。防火墙是一种综合性的科学技术，涉及网络通信、数据加密、安全决策、信息安全、硬件研制、软件开发等综合性课题。防火墙的定义防火墙是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。图8.1为防火墙示意图。防火墙的基本概念图1防火墙示意图返回本节防火墙的发展简史 第一代防火墙：采用了包过滤（PacketFilter）技术。第二、三代防火墙：1989年，推出了电路层防火墙，和应用层防火墙的初步结构。第四代防火墙：1992年，开发出了基于动态包过滤技术的第四代防火墙。第五代防火墙：1998年，NAI公司推出了一种自适应代理技术，可以称之为第五代防火墙。图2防火墙技术的简单发展历史返回本节设置防火墙的目的和功能 （1）防火墙是网络安全的屏障（2）防火墙可以强化网络安全策略（3）对网络存取和访问进行监控审计（4）防止内部信息的外泄返回本节防火墙的局限性 （1）防火墙防外不防内。（2）防火墙难于管理和配置，易造成安全漏洞。（3）很难为用户在防火墙内外提供一致的安全策略。（4）防火墙只实现了粗粒度的访问控制。返回本节防火墙技术发展动态和趋势 （1）优良的性能（2）可扩展的结构和功能（3）简化的安装与管理（4）主动过滤（5）防病毒与防黑客返回本节防火墙的技术种类 1．包过滤防火墙2．代理防火墙3．状态监视器防火墙4．复合式防火墙防火墙技术 包过滤防火墙包过滤防火墙的工作原理采用这种技术的防火墙产品，通过在网络中的适当位置对数据包进行过滤，根据检查数据流中每个数据包的源地址、目的地址、所有的TCP端口号和TCP链路状态等要素，然后依据一组预定义的规则，以允许合乎逻辑的数据包通过防火墙进入到内部网络，而将不合乎逻辑的数据包加以删除。包过滤防火墙（1）数据包过滤技术的发展：静态包过滤、动态包过滤。

（2）包过滤的优点：不用改动应用程序、一个过滤路由器能协助保护整个网络、数据包过滤对用户透明、过滤路由器速度快、效率高。

（3）包过滤的缺点：不能彻底防止地址欺骗；一些应用协议不适合于数据包过滤（如UDP协议）；正常的数据包过滤路由器无法执行某些安全策略；安全性较差；数据包工具存在很多局限性。

图3包过滤处理图4静态包过滤防火墙图5动态包过滤防火墙（1）代卖理防虽火墙局的原响理：代理漆防火忘墙运孕行在凉两个傲网络悔之间锁，它严对于俗客户宇来说辛像是阿一台吓真的返服务万器一袍样，难而对娃于外搭界的角服务妇器来防说，过它又孩是一姿台客愿户机朝。当趴代理仗服务岁器接认收到钉用户框的请岛求后客，会治检查填用户塘请求姜的站街点是科否符我合公祸司的邮要求昆，如种果公劲司允因许用腊户访虚问该严站点武的话批，代持理服载务器盖会像先一个绞客户老一样意，去路那个英站点迈取回肯所需在信息区再转您发给输客户偏。代理站防火转墙代理拦技术愁的优身点1）代理桌易于挡配置六。2）代理诸能生声成各永项记劝录。3）代盛理能涝灵活喝、完企全地墓控制企进出疲流量锈、内疲容。4）代理丹能过范滤数卸据内霞容。5）代俯理能吗为用扣户提谣供透扫明的滑加密跃机制债。6）代钱理可欲以方劫便地撇与其筒他安序全手苗段集洲成。代理疗技术太的缺筝点1）代念理速纸度较浅路由评器慢辞。2）代理福对用贞户不武透明华。3）对雄于每劫项服易务代叠理可厉能要管求不浊同的壤服务胁器。4）代拆理服莲务不啄能保决证免赌受所树有协奔议弱副点的半限制惠。5）代眠理不够能改液进底鲜层协顷议的锤安全语性。代理颗的工乔作方骂式两种描防火锈墙技傲术返回倦本节状态备监视吃器防晌火墙（1）状态晓监视粘器防火火墙惨的工饭作原净理这种苦防火戏墙安赵全特问性非弃常好只，它捞采用鞭了一寨个在椅网关透上执夜行网寨络安咏全策梯略的爪软件夹引擎住，称胃之为令检测速模块搭。检罪测模赢块在惨不影膀响网脉络正打常工耐作的据前提弄下，轧采用廉抽取仙相关免数据举的方敌法对赶网络警通信现的各棋层实灿施监味测，冶抽取怒部分座数据众，即驳状态靠信息工，并全动态贸地保沙存起号来作璃为以绝后指者定安茫全决练策的肯参考都。（2）状态错监视萄器防和火墙傍的优近缺点状态当监视庙器的匆优点危：检测蜜模块北支持迁多种炸协议跑和应贞用程挂序，毙并可惧以很粪容易稼地实陈现应狮用和售服务恳的扩室充。它会挽监测RP提C和UD扫P之类际的端猾口信磁息，句而包堵过滤振和代笨理网芝关都凳不支鬼持此森类端忆口。性能爹坚固状态福监视弊器的但缺点陆：配置桥非常咱复杂景。会降钥低网狼络的乔速度说。4．复兵合式翠防火绣墙常见目是代堤理服桶务器宽和状尽态分食析技削术的首组合具有廊对一疯切连茫接尝昌试进勉行过衰滤的裳功能冶；提取尖和管角理多仆种状妨态信重息的抚功能购；智能筒化做逗出安赏全控例制和推流量纺控制尝的决士策；提供涨高性震能的看服务如和灵达活的庙适应框性；具有居网络混内外谣完全衬透明挂的特牵性。防火但墙的仗优缺粒点优点宋：1、保悲护网寨络中奔脆弱自的服浸务2、实帖现网歉络安茶全性乖监视励和实贞时报赢警3、增恳强保默密性客和强谈化私坊有权4、实进现网哭络地识址转党换5、实汤现安扔全性惹失效视和自僵动故前障恢掏复缺点筐：1、不何能防龙范恶疗毒的算知情碎者（庄内网虑用户顿和内冰外串音通）2、不缴能防吧范不编经过拘它的领连接3、不拳能防旺备全罢部的向威胁随，特嘴别是肆新产度生的功威胁4、不卸能有破效地难防范侦病毒切的攻续击现代防火瓣墙的印安全岗技术滴及实现麦方式第四滨代防耀火墙恩技术第四妙代防鹅火墙持，具怪有安绞全操舞作系座统的李防火晴墙产连品。1．双依端口心或三足端口害的结炼构新一狂代防榴火墙意产品轻具有队两个装或三昆个独谢立的语网卡荒，内睁外两当个网浮卡可拒不作IP转化进而串旗接于故内部芽网与蜂外部愁网之碧间，筋另一驾个网抖卡可桂专用青于对上服务乱器的狂安全京保护忍。2．透擦明的惑访问皇方式以前个的防萝火墙镜在访量问方策式上诸要么哪要求匙用户这作系俭统登汁录，液要么撤需要石通过SO储CK斜S等库坊路径早修改磨客户撑机的牛应用亏。第慨四代雁防火算墙利墙用了访透明总的代宝理系饶统技揭术，维从而腹降低纱了系暖统登义录固怀有的防安全步风险杯和出喇错概臣率。3．灵重活的挺代理还系统代理夹系统筹是一舌种将禾信息径从防兰火墙祝的一齐侧传针送到睬另一翅侧的链软件给模块死。第若四代俗防火伙墙采肃用了狗两种算代理箱机制融，一宵种用糕于代摧理从绿内部御网络头到外厌部网膨络的亡连接愁，另搂一种米用于弯代理怪从外颠部网慎络到诵内部田网络撑的连近接。鞠前者吉采用漫网络再地址库转换增（NA滥T）技览术来末解决庄，后推者采厌用非饰保密过的用泡户定享制代甲理或齐保密坦的代汤理系野统技题术来免解决彩。4．多撕级的尺过滤性技术为保峡证系情统的睁安全侧性和脖防护缎水平柴，第册四代坊防火办墙采农用了灰三级孕过滤购措施奔，并淘辅以事鉴别弹手段启。在疲分组钢过滤顺一级录，能所过滤汽掉所嫁有的献源路期由分冻组和汇假冒奔的IP源地型址；惯在应完用级前网关妙一级盐，能虹利用FT追P、SM判TP等各掉种网弹关，疏控制拌和监顷测In衬te灾rn辣et提供码的所告用通腰用服惧务；粉在电贺路网粒关一张级，题实现际内部浴主机乔与外乔部站景点的呀透明拴连接嚷，并尽对服壤务的权通行宜实行雁严格服控制筋。5．网愤络地俊址转糕换技嫩术（NA灶T）第四躲代防补火墙部利用NA刺T技术酱能透午明地止对所孩有内抽部地闲址作溪转换版，使偏外部撇网络逆无法勾了解殿内部务网络队的内饶部结研构，赢同时士允许羊内部豆网络袍使用巧自己仓编的IP地址将和专礼用网射络，自防火麻墙能夸详尽表记录恐每一蝴个主阴机的肃通信钉，确魂保每扫个分之组送唐往正眨确的厦地址孙。6．In孤te啦rn饼et网关局技术由于驾是直酒接串帖连在渐网络欺之中厨，第蝇四代详防火矩墙必吼须支印持用损户在In愧te裁rn杠et互连些的所既有服鼻务，锻同时弄还要埋防止栗与In治te诊rn工et服务秀有关泰的安倾全漏载洞。热故它阀要能捧以多耍种安扁全的羽应用斯服务泪器（今包括FT冠P、Fi揭ng席er、ma条il、Id枪en愉t、Ne战ws、WW章W等）命来实胖现网贞关功第能。糠为确连保服椅务器鲜的安然全性牵，对耕所有寺的文温件和坚命令潜均要退利用相“改偷变根既系统残调用梯（ch立ro趁ot）”及作物掠理上茄的隔融离。7、安留全服广务器融网络决（SS资N）利用惜保护略策略腐对服丝式务器舅实施方保护拍，利露用网惹卡将胀对外纠服务晃器作各独立锅网络民处理唯，与稼内部西网关荷安全猛隔离归。8．用纺户鉴电别与踢加密为了单降低宁防火覆墙产昆品在Te坟ln保et、FT惊P等服处务和缸远程封管理解上的即安全抛风险稼，鉴且别功愧能必貌不可谈少，含第四殖代防愉火墙遇采用擦一次赢性使尽用的津口令侍字系良统来践作为宰用户肥的鉴武别手株段，位并实紧现了钥对邮呀件的录加密袜。9．用荡户定宣制服犁务为满巡寿足特府定用傻户的俘特定爷需求才，第膀四代坚防火钩墙在他提供似众多栏服务问的同替时，赚还为裕用户咱定制皂提供陷支持监，这仁类选露项有待：通偿用TC役P，出歇站UD字P、FT达P、SM予TP等类行，如需果某困一用翼户需酷要建竿立一拢个数残据库仰的代戴理，字便可膊利用驻这些悼支持貌，方猎便设愁置。10．审压计和让告警第四绵代防差火墙萍产品毫的审先计和么告警忆功能搁十分乘健全窜，日腔志文煮件包枕括：列一般星信息掏、内斩核信院息、是核心炒信息仙、接届收邮湾件、限邮件雨路径悄、发淡送邮炉件、恳已收摊消息撞、已遮发消叙息、功连接悼需求屈、已哗鉴别舍的访晕问、斧告警迫条件凭、管疤理日近志、孝进站成代理仁、FT披P代理玻、出班站代悔理、荡邮件垮服务台器、办域名忙服务歇器等险。告渔警功乌能会亿守住茄每一秤个TC银P或UD升P探寻合，并础能以套发出呼邮件川、声陈响等蔽多种刘方式肆报警云。防火璃墙的柳基本兔组成抱结构1．屏鸦蔽路被由器2．双或宿堡翼垒主蓝机3．屏千蔽主竞机防蹄火墙4．隔屏蔽波子网乖防火韵墙1．片屏蔽解路由坑器又称预包过燃滤路仪由器虎，在灿一般谣路由总器的妖基础滋上增去加了虑一些部新的木安全阔控制片功能妈，是精一个迈检查猪通过法它的渴数据窃包的程路由钥器。屏蔽恩路由屡器示够意图2．任双宿丝式堡垒船主机又称团应用闻型防腊火墙光，在丽运行皱防火晌墙软宇件的岁堡垒作主机某上运榆行代芳理服悄务器氧。双宿秩堡垒绒主机膜示意逝图3．榴屏蔽蒸主机腐防火甲墙屏蔽奸主机宗防火老墙由附包过射滤路畜由器谅和堡皂垒主列机（Ba骆st停io扫n核Ho摔st）组初成，抢它所役提供筋的安葱全性劝能要凳比包安过滤歌防火善墙系夹统要狂强，纹因为春它实胳现了飘网络嫌层安鬼全（娃包过结滤）桂和应俗用层巴安全谎（代窄理服障务）鲜的结架合。稠当入艘侵者沉在破屿坏内劫部网且络的湖安全域性之浆前，绪必须模首先蛛突破值这两浇种不纪同的祸安全联系统若。屏蔽授主机谁网关忧示意胞图原理订和实制现过舱程认：堡垒妖主机翻位于匹内部陡网络膨上，烤而包苗过滤梯路由佳器则津放置扇在内烈部网惠络和份外部级网络优之间糕。在阵路由隔器上伙设置芳相应岂的规它则，楚使得责外部斧系统螺只能橡访问莲堡垒律主机柳。由趋于内枣部主搜机与挨堡垒星主机仇处于梦同一旧个网做络，补内部咐系统血是否厅允许颈直接晓访问惯外部径网络跳，或架者是裕要求强使用盯堡垒历主机御上的乔代理催服务舟来访医问外柴部网家络完爬全由幼企业感的安甲全策数略来财决定尸。对桐路由够器的纠过滤沃规则寺进行协配置碗，使碗得其霞只接叶收来半自堡犁垒主脂机的铃内部北数据扎包，家就可造以强总制内玩部用蔬户使刷用代样理服暗务，柿从而骂加强丑内部慕用户吴对外译部In螺te植rn毒et访问脸的管疾理。4．刊屏蔽荒子网老防火够墙屏蔽替子网买防火卧墙利缺用两荐台屏弟蔽路倚由器染把子普网与油内外旦部网番络隔遥离开田，堡障