浅析防火墙技术

浅析防火墙技术

所谓防火钱（firewall），是建立在内网和外网的边界上的过滤封锁机制，它认为内部网络是安全可信赖的，外部网络是不安全不可信赖的。

为了保证内网的安全，防火墙的建立是非常有必要的。

防火墙的分类

一般来说，防火墙分为三类。

1.包过滤防火墙
这种防火墙一般有一个包检查块（通常称为包过滤器），它是通过定义一组静态规则来筛选数据包，如果符合规则，就进行数据包的转发，如果不符合规则就丢弃数据包，包过滤通常被包含在路由器的数据包中，因此不必额外的系统来处理这个特征。包过滤防火墙处于网络层和传输层之间。
缺点：不能区分可信网络和不可信网络，不能处理应用层协议

2.代理网关防火墙
代理网关防火墙，重要的就是代理，它彻底隔离内网和外网的直接通信，内网对外网的访问变成代理防火墙对外网的访问，然后转发给内网，所有的通信都要经过应用层的代理软件进行转发。
缺点：配置繁琐，不易理解，处理速度太慢，通常来说每一个连接都会有一个代理进程，效率及其低下

3.状态检测防火墙
状态检测防火墙是近些来的新技术，它摒弃了包过滤防火墙仅仅考察数据包的IP地址等几个参数，而不关心数据包连接状态变化的特点，在防火墙的核心部分建立状态连接表，并将进出的网络当成一个个的会话，利用状态表跟踪每一个会话的状态，状态检测对每一个包的集纳差不仅仅根据规则表，更考虑了数据包是否符合绘画所处的状态，因此提供了完整的对传输层的控制能力。

典型的防火墙体系结构

1.包过滤路由器

以太网通过包过滤路由器与外网相连，外网在访问内网的时候，会经过包过滤防火墙的过滤，整个过程基于一组静态的过滤规则，缺点显而易见，不太安全，兼容性差。

2.双宿主主机

双宿主主机又被叫做主机堡垒，它是有至少两个网络接口组成的，它彻底隔离内网和外网的直接通信，双宿主主机内外网络均可与双宿主主机进行通信。此外主机堡垒不转发TCP/IP通信报文，网络中的所有服务都必须由此主机的相应代理程序来支持。但是当被入侵了双宿主主机，内网也就不再安全，因此应该禁止网络层的路由功能。

3.屏蔽主机网关

这种结构是前两种结构的组合，其中的主机堡垒应属于内网，当外网想要访问内网时，首先需要经过包过滤路由器，经过规则过滤后的数据包再转发到主机堡垒，然后由主机堡垒转发至内网的主机。其中，包过滤路由器的路由表应该收到严格的保护，一旦被破坏，数据包就很难被转发至主机堡垒。

4.被屏蔽子网

图中绿色的区域称为DMZ，意为隔离区，这种结构应该是当前最安全的结构了，入侵者必须突破三个不同的设备，外部路由器，主机堡垒，内部路由器。内部路由器可以直接把数据包转发给内网，避免了双宿主主机的的必要，然而内部路由器在作为外网访问内网的最后防线时，能支持比双宿主主机的更大的数据包吞吐量。由于DMZ是一个区别于内网的另外一个网络，因此，NAT可以直接安装在DMZ上，以避免内网还要重新划分子网或者重新编址。