防火墙技术概述及应用

1.防火墙的概念

在计算机概念中，所谓防火墙就是指设置在不同网络之间(例如可信赖的企业内部局域网和不可信赖的公共网络)或者是不同网络安全域之间的一系列部件的组合。通过监测、限制、更改进入不同网络或不同安全域的数据流，以尽可能地对外部屏蔽网络内的信息结构和运行状况，防止发生不可预测的潜在的入侵，实现网络的安全保护。
防火墙其实是实现网络和信息安全最基础的设施。

2.高效可靠的防火墙应具备的基本特性

1. 防火墙是不同网络之间，或网络的不同安全域之间的唯一出入口，从里到外和从外到里的所有信息都必须通过防火墙;
2. 通过安全策略来控制不同网络或网络不同安全域之间的通信，只有本地安全策略授权的通信才允许通过;
3. 防火墙本身是免疫的，即防火墙本身具有较强的抗攻击能力。（要是防火墙不强的话，起不到很好的防护作用，甚至会成为黑客攻击突破点）

3.防火墙的基本功能

1. 监控并限制访问
2. 控制协议和服务
3. 保护内部网络
4. 网络地址转换( NAT )
5. 日志记录与审计
6. 虚拟专用网( VPN )（少量）

4.防火墙的基本原理

所有的防火墙功能的实现都依赖于对通过防火墙的数据包的相关信息进行检查，而且检查的项目越多、层次越深，则防火墙越安全。
由于现在计算机网络结构采用自项向下的分层横型，而分层的主要依据是各层的功能划分，不同层次功能的实现又是通过相关的协议来实现的。
所以，防火墙检查的重点是网络协议及采用相关协议封装的数据。

5.防火墙的类型

1. 包过滤防火墙
2. 代理防火墙
3. 状态检测防火墙
4. 分布式防火墙

（1）包过滤防火墙

包过滤( Packet Filter )是在网络层中根据事先设置的安全访问策略(过滤规则) , 检查每一个数据包的源IP地址、目的IP地址以及IP分组头部的其他各种标志信息(如协议、服务类型等) , 确定是否允许该数据包通过
防火墙。
包过滤防火墙的应用特点：

1. 过滤规则表需要事先进行人工设置,规则表中的条目根据用户的安全要求来定。
2. 防火墙在进行检查时，首先从过滤规则表中的第1个条目开始逐条进行，所以过滤规则表中条目的先后顺序非常重要。
3. 由于包过滤防火墙工作在OSI参考模型的网络层和传输层，所以包过滤防火墙对通过的数据包的速度影响不大，实现成本较低。

（2）代理防火墙

代理防火墙的工作原理：代理防火墙具有传统的代理服务器和防火墙的双重功能。
代理防火墙的应用特点

1. 代理防火墙可以针对应用层进行检测和扫描，可有效地防止应用层的恶意入侵和病毒。
2. 代理防火墙具有较高的安全性。由于每一个内外网络之 间的连接都要通过代理服务器的介入和转换，而且在代理防火墙上会针对每一种网络应用(如HTTP)使用特定的应用程序来处理。
3. 代理服务器通常拥有高速缓存，缓存中保存了用户最近访问过的站点内容。
4. 代理防火墙的缺点是对系统的整体性能有较大的影响，系统的处理效率会有所下降，因为代理型防火墙对数据包进行内部结构的分析和处理，这会导致数据包的吞吐能力降低(低于包过滤防火墙)

（3）状态检测防火墙

1. 静态包过滤的缺陷：
   由于静态包过滤技术要检查进入防火墙的每一个数据包，所以在一定程序上影响了网络的通信速度。后来就出现了状态检测防火墙。
2. 状态检测技术及优势：
   状态检测技术即动态包过滤技术。状态检测防火墙检查的不仅仅是数据包中的头部信息,而且会跟踪数据包的状态，即不同数据包之间的共性。
3. 状态检测防火墙的工作过程
   如果某一个数据包在进入防火墙时,规则表拒绝它通过，则防火墙直接丢弃该数据包,与该数据包相关的后续数据包同样会被拒绝通过。

（4）传统防火墙的不足

1. 虽然本章前面介绍的几类传统防火仍然是现代计算机网络安全防范的支柱,但在安全要求较高的大型网络中存在一些不足。
2. 结构性限制
3. 防外不防内
4. 效率问题
5. 故障问题

（5）因为传统防火墙的不足，出现了分布式防火墙

1.分布式防火墙的工作模式
由中心管理服务器统一制定安全策略，然后将这些定义好的策略分发到各个相关节点。
而安全策略的执行则由相关主机节点独立实施,由各主机产生的安全日志集中保存在中心管理服务器上。