防火墻

防火墻技術可根據防范的方式和側重點的不同而分為很多種類型，但總體來講可

分為包過濾、應用級網關和代理服務器等幾大類型。

1.數據包過濾型防火墻

數據包過濾(PacketFiltering）技術是在網絡層對數據包進行選擇，選擇的依據

是系統內設置的過濾邏輯,被稱為訪問控制表（AccessControlTable)。通過檢查

數據流中每個數據包的源地址、目的地址、所用的端口號、協議狀態等因素，或

它們的組合來確定是否允許該數據包通過。

數據包過濾防火墻邏輯簡單,價格便宜，易于安裝和使用，網絡性能和透明性

好,它通常安裝在路由器上。路由器是內部網絡與Internet連接必不可少的設備，

因此在原有網絡上增加這樣的防火墻幾乎不需要任何額外的費用。

數據包過濾防火墻的缺點：一是非法訪問一旦突破防火墻，即可對主機上的

軟件和配置漏洞進行攻擊；二是數據包的源地址、目的地址以及IP的端口號都

在數據包的頭部，很有可能被竊聽或假冒。

分組過濾或包過濾，是一種通用、廉價、有效的安全手段.之所以通用,因為它

不針對各個具體的網絡服務采取特殊的處理方式;之所以廉價，因為大多數路由

器都提供分組過濾功能；之所以有效,因為它能很大程度地滿足企業的安全要求.

所根據的信息來源于IP、TCP或UDP包頭。

包過濾的優點是不用改動客戶機和主機上的應用程序,因為它工作在網絡層和

傳輸層，與應用層無關。但其弱點也是明顯的：據以過濾判別的只有網絡層和傳

輸層的有限信息，因而各種安全要求不可能充分滿足;在許多過濾器中，過濾規

則的數目是有限制的，且隨著規則數目的增加，性能會受到很大地影響；由于缺

少上下文關聯信息，不能有效地過濾如UDP、RPC一類的協議；另外，大多數

過濾器中缺少審計和報警機制,且管理方式和用戶界面較差；對安全管理人員素

質要求高，建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較

深入的理解.因此，過濾器通常是和應用網關配合使用,共同組成防火墻系統。

2.應用級網關型防火墻

應用級網關(ApplicationLevelGateways）是在網絡應用層上建立協議過濾和轉

發功能.它針對特定的網絡應用服務協議使用指定的數據過濾邏輯,并在過濾的同

時，對數據包進行必要的分析、登記和統計，形成報告。實際中的應用網關通常

安裝在專用工作站系統上。

數據包過濾和應用網關防火墻有一個共同的特點，就是它們僅僅依靠特定的

邏輯判定是否允許數據包通過。一旦滿足邏輯,則防火墻內外的計算機系統建立

直接聯系，防火墻外部的用戶便有可能直接了解防火墻內部的網絡結構和運行狀

態,這有利于實施非法訪問和攻擊。

3。代理服務型防火墻

代理服務（ProxyService)也稱鏈路級網關或TCP通道（CircuitLevelGateways

orTCPTunnels)，也有人將它歸于應用級網關一類.它是針對數據包過濾和應用網

關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網絡通信

鏈路分為兩段。防火墻內外計算機系統間應用層的“鏈接”，由兩個終止代理服務

器上的“鏈接”來實現,外部計算機的網絡鏈路只能到達代理服務器，從而起到了

隔離防火墻內外計算機系統的作用。

代理服務也對過往的數據包進行分析、注冊登記，形成報告，同時當發現被

攻擊跡象時會向網絡管理員發出警報，并保留攻擊痕跡.

應用代理型防火墻是內部網與外部網的隔離點,起著監視和隔絕應用層通信流

的作用.同時也常結合入過濾器的功能。它工作在OSI模型的最高層，掌握著應

用系統中可用作安全決策的全部信息.

4.復合型防火墻

由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結

合起來，形成復合型防火墻產品。這種結合通常是以下兩種方案。

屏蔽主機防火墻體系結構：在該結構中,分組過濾路由器或防火墻與Internet

相連,同時一個堡壘機安裝在內部網絡，通過在分組過濾路由器或防火墻上過濾

規則的設置,使堡壘機成為Internet上其它節點所能到達的唯一節點，這確保了內

部網絡不受未授權外部用戶的攻擊。

屏蔽子網防火墻體系結構:堡壘機放在一個子網內,形成非軍事化區，兩個分組

過濾路由器放在這一子網的兩端，使這一子網與Internet及內部網絡分離。在屏

蔽子網防火墻體系結構中，堡壘主機和分組過濾路由器共同構成了整個防火墻的

安全基礎。

網絡安全成為當今最熱門的話題之一，很多企業為了保障自身服務器或數據安全

都采用了防火墻。隨著科技的發展，防火墻也逐漸被大眾所接受.但是，由于防

火墻是屬于高科技產物，許多的人對此還并不是了解的十分透徹。而這篇文章就

是給大家講述了防火墻工作的方式，以及防火墻的基本分類,并且討論了每一種

防火墻的優缺點。

一、防火墻的基本分類

1．包過濾防火墻

第一代防火墻和最基本形式防火墻檢查每一個通過的網絡包,或者丟棄，或

者放行，取決于所建立的一套規則。這稱為包過濾防火墻。

本質上，包過濾防火墻是多址的，表明它有兩個或兩個以上網絡適配器或接

口。例如，作為防火墻的設備可能有兩塊網卡(NIC)，一塊連到內部網絡，一塊

連到公共的Internet。防火墻的任務，就是作為“通信警察”，指引包和截住那些

有危害的包。

包過濾防火墻檢查每一個傳入包，查看包中可用的基本信息（源地址和目的

地址、端口號、協議等）。然后，將這些信息與設立的規則相比較。如果已經設

立了阻斷telnet連接,而包的目的端口是23的話，那么該包就會被丟棄。如果允

許傳入Web連接，而目的端口為80，則包就會被放行。

多個復雜規則的組合也是可行的.如果允許Web連接，但只針對特定的服務

器,目的端口和目的地址二者必須與規則相匹配，才可以讓該包通過。

最后，可以確定當一個包到達時，如果對該包沒有規則被定義,接下來將會

發生什么事情了.通常，為了安全起見,與傳入規則不匹配的包就被丟棄了。如果

有理由讓該包通過，就要建立規則來處理它.

建立包過濾防火墻規則的例子如下：

對來自專用網絡的包,只允許來自內部地址的包通過，因為其他包包含不正

確的包頭部信息。這條規則可以防止網絡內部的任何人通過欺騙性的源地址發起

攻擊。而且，如果黑客對專用網絡內部的機器具有了不知從何得來的訪問權，這

種過濾方式可以阻止黑客從網絡內部發起攻擊。

在公共網絡，只允許目的地址為80端口的包通過.這條規則只允許傳入的連

接為Web連接。這條規則也允許與Web連接使用相同端口的連接，所以它并不

是十分安全。

丟棄從公共網絡傳入的包，而這些包都有你的網絡內的源地址，從而減少IP

欺騙性的攻擊.

丟棄包含源路由信息的包，以減少源路由攻擊.要記住，在源路由攻擊中,傳

入的包包含路由信息，它覆蓋了包通過網絡應采取得正常路由，可能會繞過已有

的安全程序。通過忽略源路2．狀態/動態檢測防火墻

狀態/動態檢測防火墻,試圖跟蹤通過防火墻的網絡連接和包，這樣防火墻就

可以使用一組附加的標準,以確定是否允許和拒絕通信。它是在使用了基本包過

濾防火墻的通信上應用一些技術來做到這點的。

當包過濾防火墻見到一個網絡包,包是孤立存在的。它沒有防火墻所關心的

歷史或未來.允許和拒絕包的決定完全取決于包自身所包含的信息，如源地址、

目的地址、端口號等。包中沒有包含任何描述它在信息流中的位置的信息，則該

包被認為是無狀態的；它僅是存在而已。

一個有狀態包檢查防火墻跟蹤的不僅是包中包含的信息.為了跟蹤包的狀

態，防火墻還記錄有用的信息以幫助識別包，例如已有的網絡連接、數據的傳出

請求等.

例如，如果傳入的包包含視頻數據流，而防火墻可能已經記錄了有關信息，

是關于位于特定IP地址的應用程序最近向發出包的源地址請求視頻信號的信

息。如果傳入的包是要傳給發出請求的相同系統，防火墻進行匹配,包就可以被

允許通過。

一個狀態/動態檢測防火墻可截斷所有傳入的通信，而允許所有傳出的通信。

因為防火墻跟蹤內部出去的請求，所有按要求傳入的數據被允許通過，直到連接

被關閉為止。只有未被請求的傳入通信被截斷。

如果在防火墻內正運行一臺服務器，配置就會變得稍微復雜一些，但狀態包

檢查是很有力和適應性的技術。例如，可以將防火墻配置成只允許從特定端口進

入的通信，只可傳到特定服務器。如果正在運行Web服務器,防火墻只將80端口

傳入的通信發到指定的Web服務器。

狀態/動態檢測防火墻可提供的其他一些額外的服務有:

將某些類型的連接重定向到審核服務中去.例如，到專用Web服務器的連接，

在Web服務器連接被允許之前，可能被發到SecutID服務器(用一次性口令來使

用）。

拒絕攜帶某些數據的網絡通信,如帶有附加可執行程序的傳入電子消息，或

包含ActiveX程序的Web頁面。

跟蹤連接狀態的方式取決于包通過防火墻的類型:

TCP包。當建立起一個TCP連接時，通過的第一個包被標有包的SYN標志。

通常情況下,防火墻丟棄所有外部的連接企圖，除非已經建立起某條特定規則來

處理它們。對內部的連接試圖連到外部主機,防火墻注明連接包，允許響應及隨

后再兩個系統之間的包，直到連接結束為止。在這種方式下，傳入的包只有在它

是響應一個已建立的連接時，才會被允許通過。

UDP包。UDP包比TCP包簡單，因為它們不包含任何連接或序列信息。它

們只包含源地址、目的地址、校驗和攜帶的數據.這種信息的缺乏使得防火墻確

定包的合法性很困難，因為沒有打開的連接可利用，以測試傳入的包是否應被允

許通過.可是，如果防火墻跟蹤包的狀態，就可以確定。對傳入的包，若它所使

用的地址和UDP包攜帶的協議與傳出的連接請求匹配，該包就被允許通過.和

TCP包一樣，沒有傳入的UDP包會被允許通過,除非它是響應傳出的請求或已經

建立了指定的規則來處理它。對其他種類的包,情況和UDP包類似。防火墻仔細

地跟蹤傳出的請求，記錄下所使用的地址、協議和包的類型，然后對照保存過的

信息核對傳入的包,以確保這些包是被請求的。

由信息，防火墻可以減少這種方式的攻擊。

3．應用程序代理防火墻

應用程序代理防火墻實際上并不允許在它連接的網絡之間直接通信。相反，

它是接受來自內部網絡特定用戶應用程序的通信，然后建立于公共網絡服務器單

獨的連接。網絡內部的用戶不直接與外部的服務器通信，所以服務器不能直接訪

問內部網的任何一部分。

另外,如果不為特定的應用程序安裝代理程序代碼，這種服務是不會被支持

的，不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連接，從而提供

了額外的安全性和控制性。

例如，一個用戶的Web瀏覽器可能在80端口，但也經常可能是在1080端

口，連接到了內部網絡的HTTP代理防火墻。防火墻然后會接受這個連接請求，

并把它轉到所請求的Web服務器。

這種連接和轉移對該用戶來說是透明的，因為它完全是由代理防火墻自動處

理的。

代理防火墻通常支持的一些常見的應用程序有:

HTTP

HTTPS/SSL

SMTP

POP3

IMAP

NNTP

TELNET

FTP

IRC

應用程序代理防火墻可以配置成允許來自內部網絡的任何連接，它也可以配

置成要求用戶認證后才建立連接.要求認證的方式由只為已知的用戶建立連接的

這種限制，為安全性提供了額外的保證。如果網絡受到危害,這個特征使得從內

部發動攻擊的可能性大大減少。

討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術上講它根本

不是防火墻。網絡地址轉換(NAT）協議將內部網絡的多個IP地址轉換到一個公

共地址發到Internet上。

NAT經常用于小型辦公室、家庭等網絡，多個用戶分享單一的IP地址，并

為Internet連接提供一些安全機制。

當內部用戶與一個公共主機通信時，NAT追蹤是哪一個用戶作的請求，修

改傳出的包，這樣包就像是來自單一的公共IP地址，然后再打開連接。一旦建

立了連接，在內部計算機和Web站點之間來回流動的通信就都是透明的了.

當從公共網絡傳來一個未經請求的傳入連接時，NAT有一套規則來決定如

何處理它。如果沒有事先定義好的規則，NAT只是簡單的丟棄所有未經請求的

傳入連接，就像包過濾防火墻所做的那樣。

可是,就像對包過濾防火墻一樣，你可以將NAT配置為接受某些特定端口傳

來的傳入連接,并將它們送到一個特定的主機地址。

5．個人防火墻

現在網絡上流傳著很多的個人防火墻軟件，它是應用程序級的。個人防火墻

是一種能夠保護個人計算機系統安全的軟件，它可以直接在用戶的計算機上運

行，使用與狀態/動態檢測防火墻相同的方式,保護一臺計算機免受攻擊。通常，

這些防火墻是安裝在計算機網絡接口的較低級別上，使得它們可以監視傳入傳出

網卡的所有網絡通信。

一旦安裝上個人防火墻，就可以把它設置成“學習模式”，這樣的話，對遇

到的每一種新的網絡通信，個人防火墻都會提示用戶一次,詢問如何處理那種通

信。然后個人防火墻便記住響應方式，并應用于以后遇到的相同那種網絡通信.

例如,如果用戶已經安裝了一臺個人Web服務器，個人防火墻可能將第一個

傳入的Web連接作上標志，并詢問用戶是否允許它通過.用戶可能允許所有的

Web連接、來自某些特定IP地址范圍的連接等，個人防火墻然后把這條規則應

用于所有傳入的Web連接.

基本上，你可以將個人防火墻想象成在用戶計算機上建立了一個虛擬網絡接

口.不再是計算機的操作系統直接通過網卡進行通信，而是以操作系統通過和個

人防火墻對話，仔細檢查網絡通信，然后再通過網卡通信。

二、各類防火墻的優缺點

1．包過濾防火墻

使用包過濾防火墻的優點包括：

防火墻對每條傳入和傳出網絡的包實行低水平控制。

每個IP包的字段都被檢查，例如源地址、目的地址、協議、端口等。防火

墻將基于這些信息應用過濾規則.

防火墻可以識別和丟棄帶欺騙性源IP地址的包。

包過濾防火墻是兩個網絡之間訪問的唯一來源.因為所有的通信必須通過防

火墻，繞過是困難的。

包過濾通常被包含在路由器數據包中，所以不必額外的系統來處理這個特

征.

使用包過濾防火墻的缺點包括:

配置困難。因為包過濾防火墻很復雜，人們經常會忽略建立一些必要的規則，

或者錯誤配置了已有的規則，在防火墻上留下漏洞。然而，在市場上，許多新版

本的防火墻對這個缺點正在作改進，如開發者實現了基于圖形化用戶界面（GUI）

的配置和更直接的規則定義。

為特定服務開放的端口存在著危險，可能會被用于其他傳輸.例如，Web服

務器默認端口為80，而計算機上又安裝了RealPlayer，那么它會搜尋可以允許連

接到RealAudio服務器的端口，而不管這個端口是否被其他協議所使

用,RealPlayer正好是使用80端口而搜尋的。就這樣無意中,RealPlayer就利用了

Web服務器的端口。

可能還有其他方法繞過防火墻進入網絡,例如撥入連接。但這個并不是防火

墻自身的缺點，而是不應該在網絡安全上單純依賴防火墻的原因。

2．狀態/動態檢測防火墻

狀態/動態檢測防火墻的優點有:

檢查IP包的每個字段的能力，并遵從基于包中信息的過濾規則.

識別帶有欺騙性源IP地址包的能力。

包過濾防火墻是兩個網絡之間訪問的唯一來源.因為所有的通信必須通過防

火墻，繞過是困難的。

基于應用程序信息驗證一個包的狀態的能力,例如基于一個已經建立的FTP

連接，允許返回的FTP包通過。

基于應用程序信息驗證一個包狀態的能力,例如允許一個先前認證過的連接

繼續與被授予的服務通信。

記錄有關通過的每個包的詳細信息的能力。基本上，防火墻用來確定包狀態

的所有信息都可以被記錄，包括應用程序對包的請求，連接的持續時間，內部和

外部系統所做的連接請求等。

狀態/動態檢測防火墻的缺點：

狀態/動態檢測防火墻唯一的缺點就是所有這些記錄、測試和分析工作可能

會造成網絡連接的某種遲滯,特別是在同時有許多連接激活的時候,或者是有大量

的過濾網絡通信的規則存在時。可是，硬件速度越快，這個問題就越不易察覺，

而且防火墻的制造商一直致力于提高他們產品的速度。

3．應用程序代理防火墻

使用應用程序代理防火墻的優點有：

指定對連接的控制，例如允許或拒絕基于服務器IP地址的訪問，或者是允

許或拒絕基于用戶所請求連接的IP地址的訪問。

通過限制某些協議的傳出請求,來減少網絡中不必要的服務.

大多數代理防火墻能夠記錄所有的連接，包括地址和持續時間。這些信息對

追蹤攻擊和發生的未授權訪問的事件事很有用的.

使用應用程序代理防火墻的缺點有：

必須在一定范圍內定制用戶的系統，這取決于所用的應用程序。