1、防火墙的基础知识

1.1、防火墙的概念

        一种网络安全设备，通过各种配置，拒绝非授权的访问，保护网络安全。

        通过访问控制、身份验证、数据加密、VPN技术等安全功能，形成一个进出屏障。

1.2、防火墙的发展历史

        主要经历了包过滤防火墙、代理防火墙和状态检测防火墙等三代，统一威胁管理和下一代防火墙是最近几年提出的概念。

 1.2.1 包过滤防火墙

        第一代防火墙。通过配置访问控制列表（ACL）对数据报文进行过滤，并根据策略转发或丢弃数据报文，设计简单易于实现。

        包过滤不检查会话状态且不分析数据，攻击者可以使用假冒地址进行欺骗，然后通过防火墙。

        包过滤仅能审核处于网络层和传输层的协议首部信息，对每个数据包执行允许和禁止的操作。这种过滤能够基于下列基本标准制定访问决策：

        （1）源IP地址和目的IP地址

        （2）源和目的地端口号码

        （3）协议类型

        （4）进出的流量方向。

1.2.2 代理防火墙

        第二代防火墙。代理检查来自用户的请求，匹配安全策略后代表外部用户与真正的服务器建立连接，转发外部用户请求。

        代理防火墙安全性较高，但软件限制处理速度，同时需要为每一种应用开发对应的代理服务，开发周期长且升级困难。

        代理是一个中间人。设置在可信任网络和不可信任网络之间，总是代表数据来源建立连接。

        代理防火墙断开了通信信道，两个通信设备之间不能直接连接。

        有两种类型的防火墙，工作在OSI模型底层（会话层）的代理防火墙称为电路级代理，工作在应用层的代理防火墙叫应用级代理。

1、电路级防火墙

        创建了客户端计算机和服务器之间的一个电路，仅能看到会话层，从网络角度监控流量。

        这种代理不能看到数据包的内容，不执行深层次的检查。只是基于它能看到的协议首部和会话信息做访问决策。不理解应用层协议，因此是独立于应用层的程序代理。

        提供的保护强度没有应用级代理大。但是能提供更宽泛的保护。

        电路级代理的工作方式类似于包包过滤，它基于地址、端口和协议类型的首部值来做访问决策。电路级代理检查包首部内的数据，而不是检查应用层数据。不检查包内数据是否安全。

2、应用级代理

        可以检查通过应用层的数据包。应用级代理可以理解整个数据包，因为可以根据数据包的内容作出访问决策。

        应用级代理可以区分FTP的GET和PUT命令，并且根据这种细粒化的信息作出访问决策。包过滤防火墙和电路级代理只可以允许或者拒绝FTP的整个请求，而不是通过FTP协议内部所使用的命令进行决策。

        应用级代理防火墙需要为每个协议都配备一个代理。因此，提供应用级代理保护比较难。代理必须完全理解特定协议的工作方式以及该协议内的合法命令。

        应用级防火墙的特征如下：

        （1）检查整个网络包，不仅是网络地址和端口，因此有强大的日志记录功能。