防火墙的类型及主要优缺点

防火墙的类型概念以及主要优缺点

2008年10月27日星期一下午03:22

什么是防火墙

对于企业的网络而言，未加特别安全保护而放臵在internet上，危险性是显而易见的。随着决策层对安全认识的逐步加强，防火墙，作为一种应用非常广泛，技术相对比较成熟的网络安全产品也在不同的企业愈来愈多的得到了重视。然而一个现实的问题是目前关于防火墙的名词以及厂家基于商业目的宣称花样为数众多，这就给使用者选择和应用防火墙带来了一定的误解和困难。那么什么是防火墙，主要的防火墙之间如何区别呢？

对于防火墙的概念，我们可以这样理解：防火墙是在两个网络间实现访问控制的一个或一组软件或硬件系统。防火墙的最主要功能就是屏蔽和允许指定的数据通讯，而该功能的实现又主要是依靠一套访问控制策略，由访问控制策略来决定通讯的合法性。

那么如何理解种类众多的防火墙呢，下面来做个介绍。

防火墙的类型

如果我们从OSI分层模式来考察及分类防火墙，会比较容易的把握住防火墙的脉络，个人认为，目前主要的防火墙可以分为三类，它们分别是：包过滤防火墙、基于状态的包过滤防火墙、应用代理（网关）防火墙，而由这三类防火墙可以推导和演绎出其它可能的变化。

下面我们来逐一说明。

包过滤防火墙

首先，我们要提到的是最基本的报文过滤的防火墙，这个层次的防火墙通常工作在OSI的三层及三层以下，由此我们可以看出，可控的内容主要包括报文的源地址、报文的目标地址、服务类型，以及第二层数据链路层可控的MAC地址等。除此以外，随着包过滤防火墙的发展，部分OSI四层的内容也被包括进来，如报文的源端口和目的端口。

本层次最常见的实际应用的例子就是互联网上的路由设备，比如常见的cisco路由器，使用者可以通过定制访问控制列（ACL）来对路由器进出端口的数据包进行控制，如针对rfc1918的保留地址进屏蔽，在路由器上可以进行如下配臵：

interface x

ip access-group 101 in

access-list 101 deny ip 10.0.0.0 0.255.255.255 any

access-list 101 deny ip 192.168.0.0 0.0.255.255 any

access-list 101 deny ip 172.16.0.0 0.15.255.255 any

access-list 101 permit ip any any

从上面这个例子可以很明显的看出，路由器这里的配臵完全是针对OSI的三层ip地址，也就是ip的包头进行过滤，至于这些IP数据包里携带的具体有什么内容，路由器完全不会去关心。

由此考虑一下，我们就不难看出这个层次的防火墙的优点和弱点：

1. 基于报文过滤的防火墙一个非常明显的优势就是速度，这是因为防火墙只是去检察数据包的包头，而对数据包所携带的内容没有任何形式的检查，因此速度非常快。

2. 还有一个比较明显的好处是，对用户而言，包过滤防火墙是透明的，无需用户端进行任何配臵。

包过滤防火墙的特性决定了它很适合放在局域网的前端，由它来完成整个安全工作环节中的数据包前期处理工作，如：控制进入局域网的数据包的可信任ip，对外界开放尽量少的端口等。与此同时，这种防火墙的弊端也是显而易见的，比较关键的几点包括：

1. 由于无法对数据包及上层的内容进行核查，因此无法过滤审核数据包的内容。体现这一问题的一个很简单的例子就是：对某个端口的开放意味着相应端口对应的服务所能够提供的全部功能都被放开，即使通过防火墙的数据包有攻击性，也无法进行控制和阻断。比如针对微软IIS漏洞的Unicode攻击，因为这种攻击是走的防火墙所允许的80端口，而包过滤的防火墙无法对数据包内容进行核查，因此此时防火墙等同于虚设，未打相应patch的提供web服务的系统，即使在防火墙的屏障之后，也会被攻击者轻松拿下超级用户的权限。

2. 由于此种类型的防火墙工作在较低层次，防火墙本身所能接触到的信息较少，所以它无法提供描述事件细致的日志系统，此类防火墙生成的日志常常只是包括数据包捕获时间，三层的ip地址，四层的端口等非常原始的信息。我们可以先把下面要讲的ipmon的软件的日志拿来看看

Nov 23 14:13:05 y.y.y.y ipmon[10841]: 14:13:04.733237 hme0 @0:13 b x.x.x.x,4131 ->

y.y.y.y,3389 PR tcp len 20 48 -S IN

3. 我们可以从上面看个大概，这个防火墙于仅仅记录了11月23日14点13分防火墙block了从ip地址x.x.x.x，端口4131来的，目的端口是3389，目的ip是y.y.y.y的包头为20字节，净荷长度为28的数据包。至于这个数据包内容是什么，防火墙不会理会，这恰恰对安全管理员而言是至为关键的。因为即使一个非常优秀的系统管理员一旦陷入大量的通过/屏蔽的原始数据包信息中，往往也是难以理清头绪的，当发生安全事件时会给管理员的安全审计带来了很大的困难。

4. 所有有可能用到的端口都必须静态放开，对外界暴露，从而极大的增加了被攻击的可能性，这个问题一个很好的例子就是unix下的危险的rpc服务，它们也工作在高端口，而针对这些服务的攻击程序在互联网上异常流行。

5. 如果网络结构比较复杂，那么对管理员而言配臵ACL将是非常恐怖的事情。当网络发展到一定规模时，ACL 出错几乎是必然的，这一点相信许多大型站点的系统管理员印象深刻。

基于状态的包过滤防火墙

上面我们讲到的包过滤防火墙在具体实施的时候，管理员会遇到一些非常棘手的问题：网络上数据的传输是双向的，因此所有服务所需要的数据包进出防火墙的端口都要仔细的被考虑到，否则，会产生意想不到的情况。然而我们知道，当被防火墙保护的设备与外界通讯时，绝大多数应用要求发出请求的系统本身提供一个端口，用来接收到外界返回的数据包，而且这个端口一般是在1023到16384之间不定的，这就增加了设计控制访问规则的难度。这里我们可以捕获一次由client到server的80端口访问的一些纪录来形象说明这个问题（截取的内容略有删节）：

17:48:52.513355 IP penetrat.1134 > server.80: S 1253142352:1253142352

17:48:52.515991 IP server.80 > penetrat.1134: S 1867056172:1867056172 ack 1253142353

17:48:52.516126 IP penetrat.1134 > server.80: . ack 1

我们可以从上述内容中看到，client为了完成对server的www网络访问，需要打开一个本机端口用来接收回来的数据包，此处是1134。如果防火墙没有开放1134这个端口的话，client将无法收到回应的数据包。

但是问题是由于系统和外界通讯的时候，本机的端口不是一定的，我们已经知道如果不放开这些端口，通讯将无法完成，那么只有一个方法，开放1023以上的全部端口，允许这些端口的数据包进出。这正是传统的包过滤型防火墙的做法。

这样做的危害是明显的，为了通讯，把所有的高端端口开放，危害了配臵防火墙的最小开放性原则。上面我们提到过攻击者很容易利用这些漏洞比如rpc等服务攻击防火墙后的系统。

另一方面，由于普通的包过滤防火墙不能对数据传输状态进行判断，如收到ack数据包就想当然的认为这是一个建立的连接，从而对数据包放行，会带来一定的安全隐患。尤其当防火墙与IDS系统进行联动（目前商业产品中非常流行的做法）时，这会导致非常糟糕的状况，攻击者可能可以利用防火墙的这个弱点轻松的对目标系统进行拒绝服务攻击。

此时，也许我们可以借助于基于状态的包过滤防火墙，这种防火墙在传统的包过滤防火墙的基础上增加了对OSI第四层的支持，同时，防火墙会在自身cache或内存中维护着一个动态的状态表，数据包到达时，对该数据包的处理方式将综合访问规则和数据包所处的状态进行。

那么这个动态的状态表包括什么内容，又是如何产生的呢？

这一点各个厂家实现的方式各有不同，但是一般而言，状态表的内容一般主要包括数据包的来源/目的ip地址、来源/目的端口、时间、以及数据包的sequence number（对于tcp连结）、数据包的标志符等（对于tcp连结）。当有数据包到达防火墙时，这些参数将决定数据包是否在属于一个已经合法的sessioin。如果防火墙接收到一个初始化tcp连接的带syn标志包，这个包会首先被防火墙的访问控制列检查，如果在检查了所有的控制规则后，该包都没有被接受，那么该次连接被拒绝；如果数据包符合某条访问控制规则，那么在状态表中一个新的session就被建立，后续的数据包状态如果与状态表内的session内容不一致（如虽然目的端口一致，但源端口不一致），那么数据包将被直接丢弃；如果判断数据包属于状态表中已经联接的session，那么数据包往往就直接允许通过，不再和访问控制列内容进行比较；同时，在状态表中一个session建立后，内存中会维护对这个session的动态超时值，比如，当防火墙两端的系统建立了连结，在状态表中生成了一个session，如果后续的数据包在某个设定的超时后依然没有到达，则此次session被丢弃，这样就一方面提升了防火墙效率，另外一方面可以在一定程度上防止拒绝服务攻击。

用上面的client访问server的web例子来看的话：此时防火墙不需要在规则中打开1023以上的端口，只需要放开80端口就可以了，因为防火墙信任的client端带syn标志的数据包经由防火墙访问控制规则允许的80端口出去，防火墙会登记源端口1134，目的端口80，两端ip地址，在状态表中增加一个session。这样当server 端的80端口返回client数据包的时候，防火墙检查状态表，察觉到是由client端发起的合法连接，会自动打开1134端口，使数据包返回。

这里，我们可以拿cisco公司的主流防火墙易尚535来看看上面讲到的几个内容，在网新易尚产品中，基于状态的实现采用了适应性安全算法（Adaptive Security Algorithm），能够简单有效的对数据包进行过滤。

我们可以首先看看易尚产品中已经建立的连接，我们利用ssh从内网10.255.0.1连结外网的

202.102.224.136，连结成功后，在ES上使用sh conn来看看：

YISHANG# sh conn for 202.102.224.136

TCP out 202.102.224.136:22 in 10.255.0.1:52805 idle 0:00:02 Bytes 4317 flags UIO

我们可以看到此时有从内网到外网的已经成功的连接（flags UIO-连结已经up,同时有双向的网络连接），请注意输出中的idle时间0:00:02，如果没有数据包传送，这个值一直是增长的，到达易尚设定的超时值后，这个session会从内存中丢弃。本例中易尚对tcp的超时值为10分钟（这些值时可以改的），如果客户端从内网10.255.0.1连结外网的202.102.224.136连结成功后，不做任何操作，等待10分钟后，在202.102.224.136的连接会断开，如下：

https://www.sodocs.net/doc/786617846.html,#Read from remote host 202.102.224.136: Connection reset by peer

Connection to 202.102.224.136 closed.

再看一个例子，从内网10.255.0.1发送到外网的202.102.224.136端口123的带syn标志的tcp数据包，但是在202.102.224.136上用防火墙drop掉接收到的数据包，看看易尚如何处理：

YISHANG# sh conn for 202.102.224.136

TCP out 202.102.224.136:22 in 10.255.0.1:1605 idle 0:00:02 Bytes 0 flags saA

TCP out 202.102.224.136:22 in 10.255.0.1:1604 idle 0:00:03 Bytes 0 flags saA

TCP out 202.102.224.136:22 in 10.255.0.1:1606 idle 0:00:01 Bytes 0 flags saA

TCP out 202.102.224.136:22 in 10.255.0.1:1607 idle 0:00:00 Bytes 0 flags saA

我们看到对于这种请求，由于202.102.224.136 drop掉了syn(而不是rst数据包)，因此易尚等待着来自202.102.224.136的响应（saA），当到达两分钟的超时时间限制后，这些session会被丢弃。

最后一个试验，从内网10.255.0.1发送到外网的202.102.224.136端口123的带ack标志的tcp数据包，看看易尚如何处理，在10.255.0.1上用tcpdump我们注意到易尚察觉到了这是无效的请求，复位了（rst）连结请求：

YISHANG#Tcpdump port 123

16:33:00.122591 10.255.0.1.1036 > https://www.sodocs.net/doc/786617846.html,.123: . ack 13579 win 512 (DF)

16:33:00.122775 https://www.sodocs.net/doc/786617846.html,. 123 > 10.255.0.1.1036: R 1:1(0) ack 0 win 512 (DF)

16:33:01.122596 10.255.0.1.1037 > https://www.sodocs.net/doc/786617846.html,. 123: . ack 31836 win 512 (DF)

16:33:01.122803 https://www.sodocs.net/doc/786617846.html,. 123 > 10.255.0.1.1037: R 1:1(0) ack 0 win 512 (DF)

由上，我们可以看到这种类型的防火墙较大程度上的的减少了传统的包过滤防火墙的大量开放端口等一些安全问题，而且，由于对于已经建立联接的数据包常常不再进行访问控制列内容检查，速度大大的增加了。此外，另外好处就是对系统管理员而言配臵访问规则时需要考虑的内容相对简单了一些，出错率降低。

当然，尽管增加了基于状态的特性，但是由于本质上还是包过滤防火墙，无法深入到上层协议，因此上面所讲

的传统包过滤防火墙的一些弱点在基于状态的包过滤防火墙依然存在。

应用代理（网关）防火墙

与前面讲到的防火墙不同，这种类型的防火墙在实现中，将OSI七层的应用层也包含了进来，这个层次的防火墙的实现主要是基于软件的。在某种意义上，可以把这种防火墙看作一个翻译器，由它负责外部网络和内部网络之间的通讯，当防火墙两端的用户打算进行网络通讯时候，两端的通讯终端不会直接联系，而是由应用层的代理来负责转发。代理会截获所有的通讯内容，如果连接符合预定的访问控制规则，则代理将数据转发给目标系统，目标系统回应给代理，然后代理再将传回的数据送回客户机-请注意这个特性，由于网络连接都是通过中介来实现的，所以恶意的侵害几乎无法伤害到被保护的真实的网络设备。

因为工作在高层，理解应用层的协议，本类防火墙提供了前面两种防火墙所无法提供的诸多特别的功能，能进行一些复杂的访问控制，主要包括：

1. 认证机制，如最常见的用户和密码认证。

2. 内容过滤，如上面我们讲到的Unicode攻击，应用代理（网关）防火墙能发现这种攻击，并对攻击进行阻断。此外，还有常见的过滤80端口的Java Applet、JavaScript、ActiveX、电子邮件的MIME类型，还有Subject、To、From等等。

3. 成熟的日志，本类防火墙还具有非常成熟的日志功能，由于突破了OSI四层的限制，可以记录非常详尽的日志记录，比如：记录进入防火墙的数据包中有关应用层的命令，表现在上例中就是Unicode攻击的执行命令。

值得注意的是，上述的这些优点都是以牺牲速度为代价换取的，因为所有的连接请求在代理网关上都要经过软件的接受，分析，转换，转发等工作。在另一方面，由于数据包的所有内容都要被审查，也非常明显的降低了速度。同时，这种防火墙还有一个比较明显的弊病，就是新的网络协议和网络应用都需要一套应用代理。

基于状态检查的防火墙（Stateful Inspection）

目前这类防火墙属于比较新一代的产品，本类防火墙的概念是由checkpoint公司最先提出的，关于Stateful Inspection的含义可参见以下checkpoint公司的的说明：

Stateful - Inspection provides the highest level of security possible and overcomes the limitations of the previous two approaches by providing full application-layer awareness without breaking the

client/server model. Stateful Inspection extracts the state-related information required for security decisions from all application layers and maintains this information in dynamic state tables for evaluating subsequent connection attempts. This provides a solution that is highly secure and offers maximum performance, scalability, and extensibility. Check Point FireWall-1 is based upon Stateful Inspection, which has become the defacto standard for firewalls.

综合checkpoint网站的资料，我们可以通俗的将这种Stateful Inspection大致理解为，防火墙的内核中运行着Stateful Inspectionsm engine，由它在OSI底层对接收到的数据包进行审核，当接收到的数据包符合访问控制要求时，将该数据包传到高层进行应用级别和状态的审核，如果不符合要求，则丢弃。由于Stateful Inspectionsm engine工作在内核中，因此效率和速度都能得到很好的保证，同时由于Stateful Inspectionsm engine能够理解应用层的数据包，所以能够快速有效的在应用层进行数据包审核。

关于checkpoint的专利技术Stateful Inspectionsm engine，该公司有如下说明：This provides important system flexibility, allowing Check Point, as well as its technology partners and end-users, to incorporate new applications, services, and protocols, without requiring new software to be loaded. For most new applications, including most custom applications developed by end users, the

communication-related behavior of the new application can be incorporated simply be modifying one of Firewall-1's built-in script templates via the graphical user interface. Even the most complex applications can be added quickly and easily via the INSPECT language.

按照上面的理解，对新的应用程序的防火墙支持是无需在增加新的软件的，但本人认为，此处值得商榷，在checkpoint公司主页上，有专门的一部分介绍Application Support，也就是说，用户购臵的checkpoint防火墙内部已经支持了相应的程序的审核，这一点应该是没有问题的。但是，除此之外，当用户的网络上增加了新的应用时，并需要防火墙支持该应用时，应该并不会如上述说明那么简单，因为对应用的支持并不是简单的增加端口，修改脚本那么容易完成的。Stateful Inspectionsm engine必须理解该应用的比较具体的实现方法。比如国内广泛使用的oicq，防火墙增加对qq的支持，并不是系统管理员点几下鼠标，敲击几次键盘就能轻松完成的。

个人认为，其实基于状态检查的防火墙其设计思想可能还是源于基于状态的包过滤防火墙，只是在此基础上又增加了对应用层数据包的审核而已，但是由于本人没有实际使用过，因此无法下定论。

防火墙的附加功能

目前的防火墙还往往能够提供一些特殊的功能，如：

1. IP转换IP转换主要功能有二，一是隐藏在其后的网络设备的真实IP，从而使入侵者无法直接攻击内部网络，二是可是使用rfc1918的保留IP，这对解决ip地址匮乏的网络是很实用的。

2. 虚拟企业网络VPN在国外使用的较多，国内也开始逐渐得到应用。它是指在公共网络中建立的专用加密虚拟通道，以确保通讯安全。

3. 杀毒一般都通过插件或联动实现。

4. 与IDS联动目前实现这一功能的产品也有逐渐增多的趋势。

5. GUI界面管理传统以及一些*nix下free的防火墙一般都是通过命令行方式来键入命令来控制访问策略的，商用的防火墙一般都提供了web和gui的界面，以便于管理员进行配臵工作。

6. 自我保护，流控和计费等其它功能。

选购和使用防火墙的误区

就本人几年来系统管理员的经验看来，防火墙在选购和使用时经常会有一些误区，如下：

1. 最全的就是最好的，最贵的就是最好的这个问题常常出现在决策层，相信"全能"防火墙，认为防火墙要包括所有的模块，求大而全，不求专而精，不清楚自己的企业需要保护什么，常常是白花了大量的经费却无法取得应有的效果。

2. 一次配臵，永远运行这个问题往往都在经验不足的系统管理员手上出现，在初次配臵成功的情况下，就将防火墙永远的丢在了一边，不再根据业务情况动态的更改访问控制策略-请注意本文一开始讲到的，缺乏好的允许或者拒绝的控制策略，防火墙将起不到任何作用。

3. 审计是可有可无的这个问题也出现在系统管理员手上出现，表现为对防火墙的工作状态，日志等无暇审计，或即使审计也不明白防火墙的纪录代表着什么，这同样是危险的。

4. 厂家的配臵无需改动目前国内比较现实的情况是很多公司没有专业的技术人员来进行网络安全方面的管

理，当公司购臵防火墙等产品时，只能依靠厂家的技术人员来进行配臵，但应当警惕的是，厂家的技术人员即使技术精湛，往往不会仔细的了解公司方面的业务，无法精心定制及审核安全策略，那么在配臵过程中很可能会留下一些安全隐患。作为防火墙的试用方不能迷信厂家的技术，即使对技术不是非常清楚，也非常有必要对安全策略和厂家进行讨论。

防火墙试题-(2)

一、选择题 1、下列哪些是防火墙的重要行为？（AB ） A、准许 B、限制 C、日志记录 D、问候访问者 2、最简单的防火墙结构是（ A ） A、路由器 B、代理服务器 C、日志工具 D、包过滤器 3、绝大多数WEB站点的请求使用哪个TCP端口？（C ） A、21 B、25 C、80 D、1028 三、选择题 1.常用的加密算法包括（ABCD ） A．DES B.3DES C.RSA D.AES E.MD5 F.MAC 2.常用的散列算法有（EF ） A．DES B.3DES C.RSA D.AES E.MD5 F.MAC 一、选择题 1.传统上,公司的多个机构之间进行数据通信有众多不同的方式,主要有（ABCD） A．帧中继线路 B.ATM线路 C.DDN线路 D.PSTN 2.IPSec的应用方式有（ABCD） A．端对端安全 B.远程访问 C.VPNs D.多提供商VPNs 3. IPSec 可以使用两种模式,分别是（AB） A．Transport mode B. Tunnel mode C. Main mode D. Aggressive mode

4.在IPSec中，使用IKE建立通道时，使用的端口号是（B）A．TCP 500 B.UDP 500 C.TCP 50 D. UDP 50 5.在IKE阶段1的协商中，可以有两种模式。当两个对端都有静态的IP地址时，采用（C）协商；当一端实动态分配的IP地址时候，采用（D）协商. A．Transport mode B. Tunnel mode C. Main mode D. Aggressive mode 一、填空题 1.密码学从其发展来看，分为传统密码学和计算机密码学两大阶段。 2.密码学做为数学的一个分支，包括密码编码学和密码分析学。 3.计算机密码学包括对称密钥密码体制和公开密钥密码体制。 4.常用的加密算法包括：DES，3DES，AES；常用的散列算法有MD5，MA C 一、填空题 1.目前普遍应用的防火墙按组成结构可分为软件防火墙,硬件防火墙,芯片级防火墙三种。 2.基于PC架构的防火墙上运行一些经过裁剪和简化的操作系统，最常用的有UNIX、Linux和FreeBSD系统。 3.芯片级防火墙的核心部分是ASIC芯片。 4.目前市场上常见的防火墙架构有X86,ASIC，NP。

防火墙的主要类型

防火墙的主要类型 按照防火墙实现技术的不同可以将防火墙为以下几种主要的类型。 1.包过滤防火墙 数据包过滤是指在网络层对数据包进行分析、选择和过滤。选择的数据是系统内设置的访问控制表（又叫规则表），规则表制定允许哪些类型的数据包可以流入或流出内部网络。通过检查数据流中每一个IP数据包的源地址、目的地址、所用端口号、协议状态等因素或它们的组合来确定是否允许该数据包通过。包过滤防火墙一般可以直接集成在路由器上，在进行路由选择的同时完成数据包的选择与过滤，也可以由一台单独的计算机来完成数据包的过滤。 数据包过滤防火墙的优点是速度快、逻辑简单、成本低、易于安装和使用，网络性能和通明度好，广泛地用于Cisco 和Sonic System等公司的路由器上。缺点是配置困难，容易出现漏洞，而且为特定服务开放的端口存在着潜在的危险。 例如：“天网个人防火墙”就属于包过滤类型防火墙，根据系统预先设定的过滤规则以及用户自己设置的过滤规则来对网络数据的流动情况进行分析、监控和管理，有效地提高了计算机的抗攻击能力。 2、应用代理防火墙

应用代理防火墙能够将所有跨越防火墙的网络通信链路分为两段，使得网络内部的客户不直接与外部的服务器通信。防火墙内外计算机系统间应用层的连接由两个代理服务器之间的连接来实现。有点是外部计算机的网络链路只能到达代理服务器，从而起到隔离防火墙内外计算机系统的作用；缺点是执行速度慢，操作系统容易遭到攻击。 代理服务在实际应用中比较普遍，如学校校园网的代理服务器一端接入Internet,另一端介入内部网，在代理服务器上安装一个实现代理服务的软件，如WinGate Pro、Microsoft Proxy Server等，就能起到防火墙的作用。 3、状态检测防火墙 状态检测防火墙又叫动态包过滤防火墙。状态检测防火墙在网络层由一个检查引擎截获数据包并抽取出与应用状态有关的信息。一次作为数据来决定该数据包是接受还是拒绝。检查引擎维护一个动态的状态信息表并对后续的数据包进行检查，一旦发现任何连接的参数有意外变化，该连接就被终止。 状态检测防火墙克服了包过滤防火墙和应用代理防火墙的局限性，能够根据协议、端口及IP数据包的源地址、目的地址的具体情况来决定数据包是否可以通过。 在实际使用中，一般综合采用以上几种技术，使防火墙产品能够满足对安全性、高效性、

防火墙技术综述

防火墙技术综述 Internet的迅速发展给现代人的生产和生活都带来了前所未有的飞跃，大大提高了工作效率，丰富了人们的生活，弥补了人们的精神空缺；而与此同时给人们带来了一个日益严峻的问题―――网络安全。网络的安全性成为当今最热门的话题之一，很多企业为了保障自身服务器或数据安全都采用了防火墙。随着科技的发展，防火墙也逐渐被大众所接受。但是，由于防火墙是属于高科技产物，许多的人对此还并不是了解的十分透彻。而这篇文章就是给大家讲述了防火墙工作的方式，以及防火墙的基本分类，并且讨论了每一种防火墙的优缺点。 一、防火墙的基本分类 1．包过滤防火墙 第一代防火墙和最基本形式防火墙检查每一个通过的网络包，或者丢弃，或者放行，取决于所建立的一套规则。这称为包过滤防火墙。 本质上，包过滤防火墙是多址的，表明它有两个或两个以上网

络适配器或接口。例如，作为防火墙的设备可能有两块网卡(NIC)，一块连到内部网络，一块连到公共的Internet。防火墙的任务，就是作为“通信警察”，指引包和截住那些有危害的包。包过滤防火墙检查每一个传入包，查看包中可用的基本信息（源地址和目的地址、端口号、协议等）。然后，将这些信息与设立的规则相比较。如果已经设立了阻断telnet连接，而包的目的端口是23的话，那么该包就会被丢弃。如果允许传入Web 连接，而目的端口为80，则包就会被放行。 多个复杂规则的组合也是可行的。如果允许Web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。 最后，可以确定当一个包到达时，如果对该包没有规则被定义，接下来将会发生什么事情了。通常，为了安全起见，与传入规则不匹配的包就被丢弃了。如果有理由让该包通过，就要建立规则来处理它。 建立包过滤防火墙规则的例子如下： l 对来自专用网络的包，只允许来自内部地址的包通过，因为其他包包含不正确的包头部信息。这条规则可以防止网络内部的任何人通过欺骗性的源地址发起攻击。而且，如果黑客对专用网络内部的机器具有了不知从何得来的访问权，这种过滤方式可以阻止黑客从网络内部发起攻击。

防火墙的概念和类型

1、什么是防火墙？防火墙有哪些类型？ 防火墙的概念 防火墙(firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙由软件和硬件设备组合而成，它可以是一台专属的硬件也可以是架设在一般硬件上的一套软件。在内部网和外部网之间、专用网与公共网之间的界面上构造保护屏障，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，计算机流入流出的所有网络通信和数据包均要经过防火墙。防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域（ZONE），制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流，同时对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且还能禁止特定端口的流出通信，封锁特洛伊木马，也可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。 防火墙的类型 从防火墙的软、硬件形式划分，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。 (1)软件防火墙 软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。例如Sygate Fireware、天网防火墙等。 (2) 硬件防火墙 硬件防火墙基于硬件平台的网络防预系统，与芯片级防火墙相比并不需要专门的硬件。目前市场上大多数防火墙都是这种硬件防火墙，他们基于PC架构。 (3) 芯片级防火墙 芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。例如NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），防火墙本身的漏洞比较少，不过价格相对比较高昂。 从防火墙的技术来分的话，防火墙可以分为包过滤型、应用代理型 (1) 包过滤（Packet filtering）型

防火墙的作用是什么

防火墙的作用是什么 1.什么是防火墙 防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和I nternet之间的任何活动，保证了内部网络的安全。 2.使用Firewall的益处 保护脆弱的服务 通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如， Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。 控制对系统的访问 Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server。 集中的安全管理 Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。 增强的保密性

使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。 记录和统计网络利用数据以及非法使用数据 Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。 策略执行 Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。 3.防火墙的种类 防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。 数据包过滤 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。 应用级网关 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行

防火墙的分类

防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。 1.数据包过滤型防火墙 数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。 分组过滤或包过滤，是一种通用、廉价、有效的安全手段。之所以通用，因为它不针对各个具体的网络服务采取特殊的处理方式；之所以廉价，因为大多数路由器都提供分组过滤功能；之所以有效，因为它能很大程度地满足企业的安全要求。所根据的信息来源于IP、TCP或UDP包头。 包过滤的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输层，与应用层无关。但其弱点也是明显的：据以过滤判别的只有网络层和传输层的有限信息，因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着规则数目的增加，性能会受到很大地影响；由于缺少上下文关联信息，不能有效地过滤如UDP、RPC一类的协议；另外，大多数过滤器中缺少审计和报警机制，且管理方式和用户界面较差；对安全管理人员素质要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此，过滤器通常是和应用网关配合使用，共同组成防火墙系统。 2.应用级网关型防火墙 应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。 3.代理服务型防火墙 代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。 代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。 应用代理型防火墙是内部网与外部网的隔离点，起着监视和隔绝应用层通信

防火墙的功能

防火墙的功能 防火墙是网络安全的屏障： 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。 防火墙可以强化网络安全策略： 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。 对网络存取和访问进行监控审计： 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。 防止内部信息的外泄： 通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。 除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

防火墙作业

防火墙技术课程总结 姓名： 学号：

摘要：防火墙是提供信息安全服务、实现网络和信息安全的基础设施之一，一般安装在被保护区域的边界处，被保护区域与Internet 网之间的防火墙可以有效控制区域内部网络与外部网络之间的访问和数据传输，进而达到保护区域内部信息安全的目的，同时，通过防火墙的检测控制可以过滤掉很多非法信息。 本文介绍了防火墙的基本概念和传统意义上的3大类防火墙，即包过滤防火墙、应用代理网关防火墙、状态检测防火墙，并对其进行了分析，比较其优缺点。无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。文章还对防火墙的主要发展趋势进行了介绍，高性能、多端口、高粒度控制、减缓病毒和垃圾邮件传播速度、对入侵行为智能切断、以及增强抗DoS攻击能力的防火墙，将是未来防火墙发展的趋势。对防火墙的分析，了解其局限性，从而引入了入侵检测。入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。它对防火墙技术的局限性进行了补充，因此，文章也做了简要的介绍。 Abstract: The firewall is one of the infrastructuresto provide information security services, network and information security ,it is usually installed in the boundary of protected areas, the firewallbetween the protected areas and the Internet can effectively control the accession and data transmission between the internal network and external network, and thus to achieve the purpose of protecting information

防火墙基础知识

防火墙基础知识 一、防火墙与路由器的异同： 1、防火墙的登陆管理方式及基本配置是一样，有的防火墙多一个 DMZ端口。 2、路由器只能简单的路由策略，防火墙具备强大的访问控制：分 组对象。 3、路由器是默认的端口是开放的，防火墙的端口默认的常见端口 外都是关闭的。 二、防火墙的登陆方式: 1、console口，路由器的登陆方式一样 2、telnet登陆，需要设置 3、SSH登陆，同telnet登陆一样 三、防火墙的用户模式： 1、用户模式：PIX525> 2、特权模式PIX525# 3、全局配置模式PIX525（config）# 4、局部配置模式PIX525（config-if）# 四、防火墙基本配置 1、接口配置 防火墙PIX525默认的的有3个端口，外网口、内网口、DMZ 端口，主要配置ip地址、工作模式、速度、接口名字、安全级别interface Ethernet0

nameif outside security-level 0 ip address 218.28.202.97 255.255.255.0 duplex full 2、访问控制列表 access-list acl_out extended permit icmp any any access-list acl_out extended permit tcp any host 218.28.202.99 object-group DMZ access-list allownet extended permit ip host 192.168.0.123 object-group msn 3、设置网关地址 route outside 0.0.0.0 0.0.0.0 218.28.202.110 外网口网关route inside 0.0.0.0 0.0.0.0 192.168.1.1 内网口网关路由的网关设置 Ip route 0.0.0.0 0.0.0.0 218.28.202.110 4、端口重定向 PIX525（config）# object-group service word TCP PIX525（config-if）port-object eq 8866 先在服务的对象分组中开放一个端口，在全局模式下 static (inside,outside) tcp 218.28.202.100 8866 192.168.2.77 8866 netmask 255.255.255.255 5、地址转换：

防火墙的概念及实现原理

防火墙的概念及实现原理 一. 防火墙的概念 近年来，随着普通计算机用户群的日益增长，“防火墙”一词已经不再是服务器领域的专署，大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是，并不是所有用户都对“防火墙”有所了解的，一部分用户甚至认为，“防火墙”是一种软件的名称…… 到底什么才是防火墙？它工作在什么位置，起着什么作用？查阅历史书籍可知，古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙”（FireWall）。时光飞梭，随着计算机和网络的发展，各种攻击入侵手段也相继出现了，为了保护计算机的安全，人们开发出一种能阻止计算机之间直接通信的技术，并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说，防火墙是一种位于两个或多个网络间，实施网络之间访问控制的组件集合。对于普通用户来说，所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。 防火墙技术从诞生开始，就在一刻不停的发展着，各种不同结构不同功能的防火墙，构筑成网络上的一道道防御大堤。 二. 防火墙的分类 世界上没有一种事物是唯一的，防火墙也一样，为了更有效率的对付网络上各种不同攻击手段，防火墙也派分出几种防御架构。根据物理特性，防火墙分为两大类，硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序，它是以逻辑形式存在的，防火墙程序跟随系统启动，通过运行在Ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间，形成一种逻辑上的防御体系。 在没有软件防火墙之前，系统和网络接口设备之间的通道是直接的，网络接口设备通过网络驱动程序接口（Network Driver Interface Specification，NDIS）把网络上传来的各种报文都忠实的交给系统处理，例如一台计算机接收到请求列出机器上所有共享资源的数据报文，NDIS直接把这个报文提交给系统，系统在处理后就会返回相应数据，在某些情况下就会造成信息泄漏。而使用软件防火墙后，尽管NDIS接收到仍然的是原封不动的数据报文，但是在提交到系统的通道上多了一层防御机制，所有数据报文都要经过这层机制根据一定的规则判断处理，只有它认为安全的数据才能到达系统，其他数据则被丢弃。因为有规则提到“列出共享资源的行为是危险的”，因此在防火墙的判断下，这个报文会被丢弃，这样一来，系统接收不到报文，则认为什么事情也没发生过，也就不会把信息泄漏出去了。 软件防火墙工作于系统接口与NDIS之间，用于检查过滤由NDIS发送过来的数据，在无需改动硬件的前提下便能实现一定强度的安全保障，但是由于软件防火墙自身属于运行于系统上的程序，不可避免的需要占用一部分CPU资源维持工作，而且由于数据判断处理需要一定的时间，在一些数据流量大的网络里，软件防火墙会使整个系统工作效率和数据吞吐速度下降，甚至有些软件防火墙会存在漏洞，导致有害数据可以绕过它的防御体系，给数据安全带来损失，因此，许多企业并不会考虑用软件防火墙方案作为公司网络的防御措施，而是使用看得见摸得着的硬件防火墙。 硬件防火墙是一种以物理形式存在的专用设备，通常架设于两个网络的驳接处，直接从网络设备上检查过滤有害的数据报文，位于防火墙设备后端的网络或者服务器接收到的是经过防火墙处理的相对安全的数据，不必另外分出CPU资源去进行基于软件架构的NDIS数据检测，可以大大提高工作效率。 硬件防火墙一般是通过网线连接于外部网络接口与内部服务器或企业网络之间的设备，

防火墙常见架构的比较

防火墙的x86、NP、ASIC和多核架构的比较 随着网络的发展，网络威胁日益严峻，目前各大安全厂商都推出了多核心防火墙，采用多核芯片，终结了x86、NP和ASIC一统天下的时代，终结了高功耗、低稳定性的时代，并且提供了全面的应用安全解决方案。 多核心技术真正实现了千兆的小包吞吐量，相对于以往的X86、ASIC、NP技术，有了革命性的进步。先从以往的这些架构的优缺点讲起： 国内多数安全厂商的产品基于传统的X86架构防火墙，从总线速度来看基于32位PC I总线的X86平台，做为百兆防火墙的方案是没有任何问题的。但X86平台的防火墙方案，数据从网卡到CPU之间的传输机制是靠“中断”来实现的，中断机制导致在有大量数据包的需要处理的情况下（如：64 Bytes的小包，以下简称小包），X86平台的防火墙吞吐速率不高，大概在30%左右，并且CPU占用会很高。这是所有基于X86平台的防火墙所共同存在的问题。 因此，基于32位PCI总线的X86平台是不能做为千兆防火墙使用的问题，Intel提出了解决方案，可以把32位的PCI总线升级到了PCI-E ，即：PCI-Express，这样，PCI -E 4X的总线的速度就可以达到2000MB Bytes/S，即：16Gbits/S，并且PCI-E各个PCI设备之间互相独立不共享总线带宽，每个基于PCI-E的网口可以使用的带宽为：2000 MB Bytes/S，即：16Gbits/S，所以基于PCI-E 4X的X86从系统带宽上来说，做为千兆防火墙是没有任何问题的。但是，基于PCI-E的防火墙数据从网卡到CPU之间传输同样使用“中断”机制来传输数据，所以小包（64 Bytes）的通过率仍然为：30-40%. X86平台的防火墙其最大的缺点就是小包通速率低，只有30%－40%，造成这个问题的主要原因是因为X86平台的中断机制以及X86平台的防火墙所有数据都要经过主CP U处理。基于ASIC架构的防火墙从架构上改进了中断机制，数据从网卡收到以后，不经过主CPU处理，而是经过集成在系统中的一些芯片直接处理，由这些芯片来完成传统防火墙的功能，如：路由、NAT、防火墙规则匹配等。这样数据不经过主CPU处理，不使用中断机制。 但随之而来的问题是，ASIC架构的防火墙是芯片一级的，所有的防火墙动作由芯片来处理。这些芯片的功能比较单一，要升级维护的开发周期比较长。无法在芯片一级完成垃圾邮件过滤、网络监控、病毒防护等比较复杂的功能，所以说，ASIC架构用来做功能简单的防火墙，是完全适用的，64 Bytes的小包都可以达到线速。但是在扩展上通用CPU也是无法和专门的嵌入式CPU比较，并且在总线带宽上也无法承载太多的内部处理数据传输（M ulti-core多核处理器内部是通过高速总线或者交叉矩阵式连接的）。 NP架构实现的原理和ASIC类似，但升级、维护远远好于ASIC 架构。NP架构在的每一个网口上都有一个网络处理器，即：NPE，用来处理来自网口的数据。每个网络处理器上所运行的程序使用微码编程，其软件实现的难度比较大，开发周期比ASIC短，但比X8 6长。 采用多核处理器，是在同一个硅晶片上集成了多个独立物理核心，每个核心都具有独立的逻辑结构，包括缓存、执行单元、指令级单元和总线接口等逻辑单元，通过高速总线、内存共享进行通信。在实际工作中，每个核心都可以达到1Ghz的主频，而且可以在非常节能的方式下运行。 有的多核产品支持500万并发会话64Byte吞吐量达到3G，256Byte以上吞吐达到8G，VPN吞吐达到8G，支持3万VPN通道，支持5万Policy。每秒新建TCP会话超过

防火墙工作原理和种类

防火墙工作原理和种类-标准化文件发布号：（9556-EUATWK-MWUB-WUNN-INNUL-DDQTY-KII

一.防火墙的概念 近年来，随着普通计算机用户群的日益增长，“防火墙”一词已经不再是服务器领域的专署，大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是，并不是所有用户都对“防火墙”有所了解的，一部分用户甚至认为，“防火墙”是一种软件的名称…… 到底什么才是防火墙？它工作在什么位置，起着什么作用？查阅历史书籍可知，古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙”（Fire Wall）。时光飞梭，随着计算机和网络的发展，各种攻击入侵手段也相继出现了，为了保护计算机的安全，人们开发出一种能阻止计算机之间直接通信的技术，并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说，防火墙是一种位于两个或多个网络间，实施网络之间访问控制的组件集合。对于普通用户来说，所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。 防火墙技术从诞生开始，就在一刻不停的发展着，各种不同结构不同功能的防火墙，构筑成网络上的一道道防御大堤。 二.防火墙的分类 世界上没有一种事物是唯一的，防火墙也一样，为了更有效率的对付网络上各种不同攻击手段，防火墙也派分出几种防御架构。根据物理特性，防火墙分为两大类，硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序，它是以逻辑形式存在的，防火墙程序跟随系统启动，通过运行在 Ring0 级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间，形成一种逻辑上的防御体系。

浅谈办公网络中防火墙的应用(一)

浅谈办公网络中防火墙的应用(一) 摘要：随着时代的发展，Internet日益普及，网络已经成为信息资源的海洋，给人们带来了极大的方便。但由于Internet是一个开放的，无控制机构的网络，经常会受到计算机病毒、黑客的侵袭。它可使计算机和计算机网络数据和文件丢失，系统瘫痪。因此，计算机网络系统安全问题必须放在首位。本文就办公网络中应用最多的防火墙技术做了探讨。 关键字：计算机网络；网络安全；防火墙技术 一、前言 企业内部办公自动化网络一般是基于TCP/IP协议并采用了Internet的通信标准和Web信息流通模式的Intranet，它具有开放性，因而使用极其方便。但开放性却带来了系统入侵、病毒入侵等安全性问题。一旦安全问题得不到很好地解决，就可能出现商业秘密泄漏、设备损坏、数据丢失、系统瘫痪等严重后果，给正常的企业经营活动造成极大的负面影响。因此企业需要一个更安全的办公自动化网络系统。 目前企业内部办公网络存在的安全隐患主要有黑客恶意攻击、病毒感染、口令攻击、数据监听等，在这众多的安全隐患中要数黑客恶意攻击和病毒感染的威胁最大，造成的破坏也最大。所以企业网络中应该以防范黑客和病毒为首。 针对企业办公网络存在的众多隐患，各个企业也实施了安全防御措施，其中包括防火墙技术、数据加密技术、认证技术、PKI技术等，但其中应用最为广泛、实用性最强、效果最好的就是防火墙技术。本文将就放火墙技术在企业办公中的应用给予探讨，希望能给广大企业办公网络安全建设带来一定帮助。 二、防火墙技术概述 1.防火墙的基本概念 防火墙原是建筑物大厦里用来防止火灾蔓延的隔断墙，在这里引申为保护内部网络安全的一道防护墙。从理论上讲，网络防火墙服务的原理与其类似，它用来防止外部网上的各类危险传播到某个受保护网内。从逻辑上讲，防火墙是分离器、限制器和分析器；从物理角度看，各个防火墙的物理实现方式可以有所不同，但它通常是一组硬件设备(路由器、主机)和软件的多种组合；而从本质上来说防火墙是一种保护装置，用来保护网络数据、资源和用户的声誉；从技术上来说，网络防火墙是一种访问控制技术，在某个机构的网络和不安全的网络之间设置障碍，阻止对信息资源的非法访问，换句话说，防火墙是一道门槛，控制进/出两个方向的通信，防火墙主要用来保护安全网络免受来自不安全网络的入侵，如安全网络可能是企业的内部网络，不安全网络是因特网，当然，防火墙不只是用于某个网络与因特网的隔离，也可用于企业内部网络中的部门网络之间的隔离。 2.防火墙的工作原理 防火墙的工作原理是按照事先规定好的配置和规则，监控所有通过防火墙 的数据流，只允许授权的数据通过，同时记录有关的联接来源、服务器提供的 通信量以及试图闯入者的任何企图，以方便管理员的监测和跟踪，并且防火墙本身也必须能够免于渗透。 3.防火墙的功能 一般来说，防火墙具有以下几种功能： ①能够防止非法用户进入内部网络。 ②可以很方便地监视网络的安全性，并报警。 ③可以作为部署NAT（NetworkAddressTranslation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。 ④可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区

国内外主流防火墙分析

网盾防火墙与国内外主流防火墙 分析报告 一.防火墙产品类型发展趋势 在防火墙十多年的发展中，防火墙厂家对防火墙的分类一直在变化，各个厂家对自己的防火墙产品有不同的标榜。但在我看来，防火墙发展的总趋势都是集中在寻找防火墙性能和功能的平衡点。下面是五种典型的现行的防火墙种类。 （一.）包过滤防火墙 传统的包过滤对包的检测是工作在网络层，它只是通过逐个检查单个包的地址，协议以及端口等信息来决定是否允许此数据包通过。包过滤的主要优点是由高性能和易于配置，因此尽管包过滤的安全性低，许多厂家仍然不放弃包过滤类型，而且对包过滤进行了大量的功能扩展，如添加代理功能，用户认证，对话层的状态检测等以提高包过滤的安全性能，以求做到保证速度和安全性兼得。 （二.）应用代理防火墙 应用级防火墙主要工作于应用层。它主要的优点是通过完全隔离内网和外网的通信以及细粒度的内容检测可以达到很强的安全性能。但是它的缺点也很突出，首先它对网络性能影响很大，其次是必须为每一种服务实现一个代理所造成的开发上的麻烦,最后是应用代理防火墙对用户配置所造成的麻烦。所以应用代理防火墙的厂商也不断的想办法提高自己的性能增强自己的竞争力，另一方面也逐步向透明代理过渡以方便用户的使用。 （三.）混合型防火墙（Hybrid） 由于希望防火墙在功能和处理上能进行融合，保证完善的应用。许多厂家提出了混合型防火墙的概念。他们认为混合型防火墙应该是动态包过滤和透明代理的有机结合，可以做到用户无需知道给他提供服务的到底是用了那些技术，而防火墙根据不同的服务要求提供用户的使用要求和安全策略。而且为了保证性能只有必须使用应用代理才能实现的功能才使用代理。 （四.）全状态检测防火墙（Full State Inspection） 这是由一个知名防火墙厂家Checkpoint提出的一种新型防火墙，据Checkpoint关于firewall-1的技术文档介绍，该种防火墙既能具有包过滤的功能又能具有代理防火墙的安全性。Firewall-1拥有一个强大的检测模块（Inspection Model）,该模块可以分析所有的包通信层，并提取相关的通信及应用状态信息。Firewall-1的检查模块位于操作系统的核心，位于链路层和网络层之间，因此任何包未通过该模块检验通过之前将不会交给更高的协议层处理。据说状态检测可以支持所有主要的因特网服务和上百种应用程序，如e-mail,FTP,Telnet,Orable SQL*Net数据库存取和新兴的多媒体应用程序如

防火墙概念与分类

防火墙概念与分类 1.防火墙简介 ?防火墙允许授权的数据通过，而拒绝未经授权的数据通信。网络防火墙是隔离内部网与Internet之间的一道防御系统，允许人们在内部网和开放的Internet之间通信。访问者必须首先穿越防火墙的安全防线，才能接触目标计算机。 ?在没有防火墙时，局域网内部的每个节点都暴露给Internet上的其它主机，此时内部网的安全性要由每个节点的坚固程度来决定，且安全性等同于其中最薄弱的节点。使用防火墙后，防火墙会将内部网的安全性统一到它自身，网络安全性在防火墙系统上得到加固，而不是分布在内部网的所有节点上。 ?防火墙基本功能： 1. 作为一个中心“遏制点”，将内部网的安全管理集中起来，所有的通信都经过防火墙； 2. 只放行经过授权的网络流量，屏蔽非法请求，防止越权访问,并产生安全报警； 3. 能经受得起对其自身的攻击。 ?防火墙工作在OSI参考模型上： ?防火墙的发展史： 1. 第一代防火墙技术由附加在边界路由器上的访问控制表**ACL (Access Control Table)**构成，采用了包过滤技术。 2. 第二代代理防火墙即电路层网关和应用层网关。 3. 1994年，以色列的Check Point公司开发出了第一个基于动态包过滤技术的防火墙 产品。 4. 1998年，美国的网络联盟公司NAI (Network Associates Inc.)又推出了一种自适应 代理技术。 ?防火墙的两大分类：包过滤防火墙和代理防火墙。前者以Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后者以NAI公司的Gauntlet防火墙为代表。

?防火墙的组成：防火墙既可以是一台路由器、一台PC或者一台主机，也可以是由多台主机构成的体系。应该将防火墙放置在网络的边界。网络边界是一个本地网络的整个边界，本地网络通过输入点和输出点与其它网络相连，这些连接点都应该装有防火墙，然而在网络边界内部也应该部署防火墙，以便为特定主机提供额外的、特殊的保护。 ?防火墙的分类： 1. 根据采用的技术不同，可分为包过滤防火墙和代理服务防火墙； 2. 按照应用对象的不同，可分为企业级防火墙与个人防火墙； 3. 依据实现的方法不同，又可分为软件防火墙、硬件防火墙和专用防火墙。 ?软件防火墙：防火墙运行于特定的计算机上，一般来说这台计算机就是整个网络的网关。软件防火墙像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。使用这类防火墙，需要网络管理人员对所工作的操作系统平台比较熟悉。 ?硬件防火墙：由PC硬件、通用操作系统和防火墙软件组成。在定制的PC硬件上，采用通用PC系统、Flash盘、网卡组成的硬件平台上运行Linux、FreeBSD、 Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。特点是开发成本低、性能实用、稳定性和扩展性较好，价格也低廉。由于此类防火墙依赖操作系统内核，因此会受到操作系统本身安全性影响，处理速度也慢。 ?专用防火墙：采用特别优化设计的硬件体系结构，使用专用的操作系统，此类防火墙在稳定性和传输性能方面有着得天独厚的优势，速度快，处理能力强，性能高；由于使用专用操作系统，容易配置和管理，本身漏洞也比较少，但是扩展能力有限，价格也较高。由于专用防火墙系列化程度好，用户可根据应用环境选择合适的产品。 2.包过滤防火墙 ?包过滤(Packet Filter)是所有防火墙中最核心的功能，进行包过滤的标准是根据安全策略制定的。通常情况下靠网络管理员在防火墙设备的ACL中设定。与代理服务器相比，它的优势是不占用网络带宽来传输信息。 ?包过滤规则一般存放于路由器的ACL中。在ACL中定义了各种规则来表明是否同意或拒绝数据包的通过。 ?如果没有一条规则能匹配，防火墙就会使用默认规则，一般情况下，默认规则要求防火墙丢弃该包。包过滤的核心是安全策略即包过滤算法的设计。

防火墙复习资料专

一、填空题（每空2分，共20分）(百度) 1、 --（防火墙）------是指设置在不同网络（如可信任的企业内部网和不可信的公共网） 或网络安全域之间的，用以实施网络间访问控制的一组组件的集合。 2、目前普遍应用的防火墙按组成结构可分为（软件防火墙）,硬件防火墙,芯片级防火墙三种。 3、包过滤类型的防火墙要遵循的一条基本原则是 --（最小特权原则）------ 。 4、状态检测防火墙中有两张表用来实现对数据流的控制，它们分别是规则表和 ---（状态检测表）------。 5、常见防火墙按采用的技术分类主要有：包过滤防火墙；代理防火墙；-(状态检测防火墙)-------。 6、-（双重宿主主机）------- 是防火墙体系的基本形态 7、应用层网关防火墙也就是传统的代理型防火墙。应用层网关型防火墙工作在 OSI 模型的应用层，它的核心技术就是 -（代理服务器技术）-------，电路层网关工作在OSI模型的会话层。 8、防火墙体系结构一般有如下三种类型：（双重宿主主机体系结构）、屏蔽主机体系结构和屏蔽子网体系结构。 9、在屏蔽子网防火墙体系结构中， ---（堡垒主机）----- 和分组过滤路由器共同构成了整 个防火墙的安全基础。 10、防火墙的工作模式有----（路由模式）---- 、透明桥模式和混合模式三大类。 11.芯片级防火墙的核心部分是（ASIC芯片） 12.目前市场上常见的防火墙架构有(X86 ASIC NP) 13.代理防火墙是一种较新型的防火墙技术，它分为（应用层网关）和（电路层网关） 14.防火墙是一个或一组实施（访问控制策略）的系统 15.访问控制策略设计原则有(封闭)原则和（开放）原则 16.按防火墙应用部署位置分，可以分为（边界）防火墙，（个人）防火墙和（分布式）防火墙 17.防火墙实现的主要技术有（包过滤）技术，（应用代理）技术，（状态检测）技术 二、名词解释（每小题4分，共20分） 1.深度过滤：深度过滤技术又称为深度检测技术，是防火墙技术的集成和优化 2.入侵检测：检测并响应针对计算机系统或网络的入侵行为的学科 3.蜜罐技术：将攻击的目标转移到蜜罐系统上，诱骗、收集、分析攻击的信息，确定入侵行为的模式和入侵者的动机。 4.PPTP：即点对点隧道协议，是一种支持多协议虚拟专用网络的网络技术 5.MPLS VPN：是一种基于MPLS技术的IP-VPN，是在网络路由和交换设备上应用MPLS技术，，简化核心路由器的路由选择方式，利用结合传统路由技术的标记交换实现的IP虚拟专用网络（IP VPN）。 6.防火墙：一种位于内部网络与外部网络之间的网络安全系统。 7.包过滤技术：又称报文过滤技术。其作用是执行边界访问控制功能，即对网络通信数据进行过滤（filtering，亦称筛选）。 8.VPN：是指通过一个公用网络建立一个临时的、安全的链接，是一条穿过混乱的公用网络