防火墻的分類

1、防火墻技術可根據(jù)防范的方式和側(cè)重點的不同而分為很多種類型，但總體來講可分為包過濾、應用級網(wǎng)關和代理服務器等幾大類型。1.數(shù)據(jù)包過濾型防火墻     數(shù)據(jù)包過濾(Packet Filtering)技術是在網(wǎng)絡層對數(shù)據(jù)包進行選擇，選擇的依據(jù)是系統(tǒng)內(nèi)設置的過濾邏輯，被稱為訪問控制表(Access Control Table)。通過檢查數(shù)據(jù)流中每個數(shù)據(jù)包的源地址、目的地址、所用的端口號、協(xié)議狀態(tài)等因素，或它們的組合來確定是否允許該數(shù)據(jù)包通過。     數(shù)據(jù)包過濾防火墻邏輯簡單，價格便宜，易于安裝和使用，網(wǎng)絡性能和透明性好，

2、它通常安裝在路由器上。路由器是內(nèi)部網(wǎng)絡與Internet連接必不可少的設備，因此在原有網(wǎng)絡上增加這樣的防火墻幾乎不需要任何額外的費用。     數(shù)據(jù)包過濾防火墻的缺點：一是非法訪問一旦突破防火墻，即可對主機上的軟件和配置漏洞進行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。     分組過濾或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因為它不針對各個具體的網(wǎng)絡服務采取特殊的處理方式；之所以廉價，因為大多數(shù)路由器都提供分組過濾功能；之所以有效，因為它能很大程度地

3、滿足企業(yè)的安全要求。 所根據(jù)的信息來源于IP、TCP或UDP包頭。     包過濾的優(yōu)點是不用改動客戶機和主機上的應用程序，因為它工作在網(wǎng)絡層和傳輸層，與應用層無關。但其弱點也是明顯的：據(jù)以過濾判別的只有網(wǎng)絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規(guī)則的數(shù)目是有限制的，且隨著規(guī)則數(shù)目的增加，性能會受到很大地影響；由于缺少上下文關聯(lián)信息，不能有效地過濾如UDP、RPC一類的協(xié)議；另外，大多數(shù)過濾器中缺少審計和報警機制，且管理方式和用戶界面較差；對安全管理人員素質(zhì)要求高，建立安全規(guī)則時，必須對協(xié)議本身及其在不同應用程序中的作

4、用有較深入的理解。因此，過濾器通常是和應用網(wǎng)關配合使用，共同組成防火墻系統(tǒng)。 2.應用級網(wǎng)關型防火墻    應用級網(wǎng)關(Application Level Gateways)是在網(wǎng)絡應用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對特定的網(wǎng)絡應用服務協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時，對數(shù)據(jù)包進行必要的分析、登記和統(tǒng)計，形成報告。實際中的應用網(wǎng)關通常安裝在專用工作站系統(tǒng)上。     數(shù)據(jù)包過濾和應用網(wǎng)關防火墻有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計算機系統(tǒng)建立直

5、接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡結(jié)構(gòu)和運行狀態(tài)，這有利于實施非法訪問和攻擊。 3.代理服務型防火墻     代理服務(Proxy Service)也稱鏈路級網(wǎng)關或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人將它歸于應用級網(wǎng)關一類。它是針對數(shù)據(jù)包過濾和應用網(wǎng)關技術存在的缺點而引入的防火墻技術，其特點是將所有跨越防火墻的網(wǎng)絡通信鏈路分為兩段。防火墻內(nèi)外計算機系統(tǒng)間應用層的“鏈接”，由兩個終止代理服務器上的“鏈接”來實現(xiàn)，外部計算機的網(wǎng)絡鏈路只能到達代理服務器，從而起到了隔離

6、防火墻內(nèi)外計算機系統(tǒng)的作用。     代理服務也對過往的數(shù)據(jù)包進行分析、注冊登記，形成報告，同時當發(fā)現(xiàn)被攻擊跡象時會向網(wǎng)絡管理員發(fā)出警報，并保留攻擊痕跡。     應用代理型防火墻是內(nèi)部網(wǎng)與外部網(wǎng)的隔離點，起著監(jiān)視和隔絕應用層通信流的作 用。同時也常結(jié)合入過濾器的功能。它工作在OSI模型的最高層，掌握著應用系統(tǒng)中可用作安全決策的全部信息。 4.復合型防火墻    由于對更高安全性的要求，常把基于包過濾的方法與基于應用代理的方法結(jié)合起來，形成復合型防火墻產(chǎn)品。這種結(jié)合通常是以下

7、兩種方案。     屏蔽主機防火墻體系結(jié)構(gòu)：在該結(jié)構(gòu)中，分組過濾路由器或防火墻與Internet相連，同時一個堡壘機安裝在內(nèi)部網(wǎng)絡，通過在分組過濾路由器或防火墻上過濾規(guī)則的設置，使堡壘機成為Internet上其它節(jié)點所能到達的唯一節(jié)點，這確保了內(nèi)部網(wǎng)絡不受未授權外部用戶的攻擊。     屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)：堡壘機放在一個子網(wǎng)內(nèi)，形成非軍事化區(qū)，兩個分組過濾路由器放在這一子網(wǎng)的兩端，使這一子網(wǎng)與Internet及內(nèi)部網(wǎng)絡分離。在屏蔽子網(wǎng)防火墻體系結(jié)構(gòu)中，堡壘主機和分組過濾路由器共同構(gòu)成了整個防火墻的安全基礎。網(wǎng)絡

8、安全成為當今最熱門的話題之一，很多企業(yè)為了保障自身服務器或數(shù)據(jù)安全都采用了防火墻。隨著科技的發(fā)展，防火墻也逐漸被大眾所接受。但是，由于防火墻是屬于高科技產(chǎn)物，許多的人對此還并不是了解的十分透徹。而這篇文章就是給大家講述了防火墻工作的方式，以及防火墻的基本分類，并且討論了每一種防火墻的優(yōu)缺點。一、防火墻的基本分類1包過濾防火墻第一代防火墻和最基本形式防火墻檢查每一個通過的網(wǎng)絡包，或者丟棄，或者放行，取決于所建立的一套規(guī)則。這稱為包過濾防火墻。本質(zhì)上，包過濾防火墻是多址的，表明它有兩個或兩個以上網(wǎng)絡適配器或接口。例如，作為防火墻的設備可能有兩塊網(wǎng)卡(NIC)，一塊連到內(nèi)部網(wǎng)絡，一塊連到公共的Int

9、ernet。防火墻的任務，就是作為“通信警察”，指引包和截住那些有危害的包。包過濾防火墻檢查每一個傳入包，查看包中可用的基本信息（源地址和目的地址、端口號、協(xié)議等）。然后，將這些信息與設立的規(guī)則相比較。如果已經(jīng)設立了阻斷telnet連接，而包的目的端口是23的話，那么該包就會被丟棄。如果允許傳入Web連接，而目的端口為80，則包就會被放行。多個復雜規(guī)則的組合也是可行的。如果允許Web連接，但只針對特定的服務器，目的端口和目的地址二者必須與規(guī)則相匹配，才可以讓該包通過。最后，可以確定當一個包到達時，如果對該包沒有規(guī)則被定義，接下來將會發(fā)生什么事情了。通常，為了安全起見，與傳入規(guī)則不匹配的包就被丟

10、棄了。如果有理由讓該包通過，就要建立規(guī)則來處理它。建立包過濾防火墻規(guī)則的例子如下：對來自專用網(wǎng)絡的包，只允許來自內(nèi)部地址的包通過，因為其他包包含不正確的包頭部信息。這條規(guī)則可以防止網(wǎng)絡內(nèi)部的任何人通過欺騙性的源地址發(fā)起攻擊。而且，如果黑客對專用網(wǎng)絡內(nèi)部的機器具有了不知從何得來的訪問權，這種過濾方式可以阻止黑客從網(wǎng)絡內(nèi)部發(fā)起攻擊。在公共網(wǎng)絡，只允許目的地址為80端口的包通過。這條規(guī)則只允許傳入的連接為Web連接。這條規(guī)則也允許與Web連接使用相同端口的連接，所以它并不是十分安全。丟棄從公共網(wǎng)絡傳入的包，而這些包都有你的網(wǎng)絡內(nèi)的源地址，從而減少IP欺騙性的攻擊。丟棄包含源路由信息的包，以減少源路由

11、攻擊。要記住，在源路由攻擊中，傳入的包包含路由信息，它覆蓋了包通過網(wǎng)絡應采取得正常路由，可能會繞過已有的安全程序。通過忽略源路2狀態(tài)/動態(tài)檢測防火墻狀態(tài)/動態(tài)檢測防火墻，試圖跟蹤通過防火墻的網(wǎng)絡連接和包，這樣防火墻就可以使用一組附加的標準，以確定是否允許和拒絕通信。它是在使用了基本包過濾防火墻的通信上應用一些技術來做到這點的。當包過濾防火墻見到一個網(wǎng)絡包，包是孤立存在的。它沒有防火墻所關心的歷史或未來。允許和拒絕包的決定完全取決于包自身所包含的信息，如源地址、目的地址、端口號等。包中沒有包含任何描述它在信息流中的位置的信息，則該包被認為是無狀態(tài)的；它僅是存在而已。一個有狀態(tài)包檢查防火墻跟蹤的不

12、僅是包中包含的信息。為了跟蹤包的狀態(tài)，防火墻還記錄有用的信息以幫助識別包，例如已有的網(wǎng)絡連接、數(shù)據(jù)的傳出請求等。例如，如果傳入的包包含視頻數(shù)據(jù)流，而防火墻可能已經(jīng)記錄了有關信息，是關于位于特定IP地址的應用程序最近向發(fā)出包的源地址請求視頻信號的信息。如果傳入的包是要傳給發(fā)出請求的相同系統(tǒng)，防火墻進行匹配，包就可以被允許通過。一個狀態(tài)/動態(tài)檢測防火墻可截斷所有傳入的通信，而允許所有傳出的通信。因為防火墻跟蹤內(nèi)部出去的請求，所有按要求傳入的數(shù)據(jù)被允許通過，直到連接被關閉為止。只有未被請求的傳入通信被截斷。如果在防火墻內(nèi)正運行一臺服務器，配置就會變得稍微復雜一些，但狀態(tài)包檢查是很有力和適應性的技術。

13、例如，可以將防火墻配置成只允許從特定端口進入的通信，只可傳到特定服務器。如果正在運行Web服務器，防火墻只將80端口傳入的通信發(fā)到指定的Web服務器。狀態(tài)/動態(tài)檢測防火墻可提供的其他一些額外的服務有：將某些類型的連接重定向到審核服務中去。例如，到專用Web服務器的連接，在Web服務器連接被允許之前，可能被發(fā)到SecutID服務器（用一次性口令來使用）。拒絕攜帶某些數(shù)據(jù)的網(wǎng)絡通信，如帶有附加可執(zhí)行程序的傳入電子消息，或包含ActiveX程序的Web頁面。跟蹤連接狀態(tài)的方式取決于包通過防火墻的類型：TCP包。當建立起一個TCP連接時，通過的第一個包被標有包的SYN標志。通常情況下，防火墻丟棄所有外

14、部的連接企圖，除非已經(jīng)建立起某條特定規(guī)則來處理它們。對內(nèi)部的連接試圖連到外部主機，防火墻注明連接包，允許響應及隨后再兩個系統(tǒng)之間的包，直到連接結(jié)束為止。在這種方式下，傳入的包只有在它是響應一個已建立的連接時，才會被允許通過。UDP包。UDP包比TCP包簡單，因為它們不包含任何連接或序列信息。它們只包含源地址、目的地址、校驗和攜帶的數(shù)據(jù)。這種信息的缺乏使得防火墻確定包的合法性很困難，因為沒有打開的連接可利用，以測試傳入的包是否應被允許通過。可是，如果防火墻跟蹤包的狀態(tài)，就可以確定。對傳入的包，若它所使用的地址和UDP包攜帶的協(xié)議與傳出的連接請求匹配，該包就被允許通過。和TCP包一樣，沒有傳入的U

15、DP包會被允許通過，除非它是響應傳出的請求或已經(jīng)建立了指定的規(guī)則來處理它。對其他種類的包，情況和UDP包類似。防火墻仔細地跟蹤傳出的請求，記錄下所使用的地址、協(xié)議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。由信息，防火墻可以減少這種方式的攻擊。3應用程序代理防火墻應用程序代理防火墻實際上并不允許在它連接的網(wǎng)絡之間直接通信。相反，它是接受來自內(nèi)部網(wǎng)絡特定用戶應用程序的通信，然后建立于公共網(wǎng)絡服務器單獨的連接。網(wǎng)絡內(nèi)部的用戶不直接與外部的服務器通信，所以服務器不能直接訪問內(nèi)部網(wǎng)的任何一部分。另外，如果不為特定的應用程序安裝代理程序代碼，這種服務是不會被支持的，不能建立任何

16、連接。這種建立方式拒絕任何沒有明確配置的連接，從而提供了額外的安全性和控制性。例如，一個用戶的Web瀏覽器可能在80端口，但也經(jīng)常可能是在1080端口，連接到了內(nèi)部網(wǎng)絡的HTTP代理防火墻。防火墻然后會接受這個連接請求，并把它轉(zhuǎn)到所請求的Web服務器。這種連接和轉(zhuǎn)移對該用戶來說是透明的，因為它完全是由代理防火墻自動處理的。代理防火墻通常支持的一些常見的應用程序有：HTTPHTTPS/SSLSMTPPOP3IMAPNNTPTELNETFTPIRC應用程序代理防火墻可以配置成允許來自內(nèi)部網(wǎng)絡的任何連接，它也可以配置成要求用戶認證后才建立連接。要求認證的方式由只為已知的用戶建立連接的這種限制，為安全

17、性提供了額外的保證。如果網(wǎng)絡受到危害，這個特征使得從內(nèi)部發(fā)動攻擊的可能性大大減少。4.NAT討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術上講它根本不是防火墻。網(wǎng)絡地址轉(zhuǎn)換(NAT)協(xié)議將內(nèi)部網(wǎng)絡的多個IP地址轉(zhuǎn)換到一個公共地址發(fā)到Internet上。NAT經(jīng)常用于小型辦公室、家庭等網(wǎng)絡，多個用戶分享單一的IP地址，并為Internet連接提供一些安全機制。當內(nèi)部用戶與一個公共主機通信時，NAT追蹤是哪一個用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共IP地址，然后再打開連接。一旦建立了連接，在內(nèi)部計算機和Web站點之間來回流動的通信就都是透明的了。當從公共網(wǎng)絡傳來一個未經(jīng)請

18、求的傳入連接時，NAT有一套規(guī)則來決定如何處理它。如果沒有事先定義好的規(guī)則，NAT只是簡單的丟棄所有未經(jīng)請求的傳入連接，就像包過濾防火墻所做的那樣。可是，就像對包過濾防火墻一樣，你可以將NAT配置為接受某些特定端口傳來的傳入連接，并將它們送到一個特定的主機地址。5個人防火墻現(xiàn)在網(wǎng)絡上流傳著很多的個人防火墻軟件，它是應用程序級的。個人防火墻是一種能夠保護個人計算機系統(tǒng)安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態(tài)/動態(tài)檢測防火墻相同的方式，保護一臺計算機免受攻擊。通常，這些防火墻是安裝在計算機網(wǎng)絡接口的較低級別上，使得它們可以監(jiān)視傳入傳出網(wǎng)卡的所有網(wǎng)絡通信。一旦安裝上個人防火墻，就可以把

19、它設置成“學習模式”，這樣的話，對遇到的每一種新的網(wǎng)絡通信，個人防火墻都會提示用戶一次，詢問如何處理那種通信。然后個人防火墻便記住響應方式，并應用于以后遇到的相同那種網(wǎng)絡通信。例如，如果用戶已經(jīng)安裝了一臺個人Web服務器，個人防火墻可能將第一個傳入的Web連接作上標志，并詢問用戶是否允許它通過。用戶可能允許所有的Web連接、來自某些特定IP地址范圍的連接等，個人防火墻然后把這條規(guī)則應用于所有傳入的Web連接。基本上，你可以將個人防火墻想象成在用戶計算機上建立了一個虛擬網(wǎng)絡接口。不再是計算機的操作系統(tǒng)直接通過網(wǎng)卡進行通信，而是以操作系統(tǒng)通過和個人防火墻對話，仔細檢查網(wǎng)絡通信，然后再通過網(wǎng)卡通信。

20、二、各類防火墻的優(yōu)缺點1包過濾防火墻使用包過濾防火墻的優(yōu)點包括：防火墻對每條傳入和傳出網(wǎng)絡的包實行低水平控制。每個IP包的字段都被檢查，例如源地址、目的地址、協(xié)議、端口等。防火墻將基于這些信息應用過濾規(guī)則。防火墻可以識別和丟棄帶欺騙性源IP地址的包。包過濾防火墻是兩個網(wǎng)絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。包過濾通常被包含在路由器數(shù)據(jù)包中，所以不必額外的系統(tǒng)來處理這個特征。使用包過濾防火墻的缺點包括：配置困難。因為包過濾防火墻很復雜，人們經(jīng)常會忽略建立一些必要的規(guī)則，或者錯誤配置了已有的規(guī)則，在防火墻上留下漏洞。然而，在市場上，許多新版本的防火墻對這個缺點正在作改進，如開發(fā)者實現(xiàn)了基于圖形化用戶界面(GUI)的配置和更直接的規(guī)則定義。為特定服務開放的端口存在著危險，可能會被用于其他傳輸。例如，Web服務器默認端口為80，而計算機上又安裝了RealPlayer，那么它會搜尋可以允許連接到RealAudio服務器的端口，而不管這個端口是否被其他協(xié)議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務器的端口?？赡苓€有其他方法繞過防火