防火墻的設(shè)計(jì)和實(shí)現(xiàn)

第5章防火墻本章的教學(xué)目的：通過對(duì)防火墻中所涉及到技術(shù)的分析，了解防火墻的工作原理以及部署配置防火墻的原則；并通過實(shí)驗(yàn)及實(shí)訓(xùn)課程中安排的訓(xùn)練培養(yǎng)學(xué)生配置相對(duì)簡單的個(gè)人防火墻的實(shí)踐操作能力。當(dāng)然，一些有條件的院校應(yīng)盡可能的為學(xué)生們提供接觸硬件防火墻的條件。

關(guān)鍵詞匯：防火墻（）、包過濾()、包狀態(tài)監(jiān)測(cè)()、應(yīng)用代理()、應(yīng)用網(wǎng)關(guān)()、自適應(yīng)代理()、包過濾型防火墻（）、電路級(jí)網(wǎng)關(guān)（）、應(yīng)用級(jí)網(wǎng)關(guān)（）、狀態(tài)監(jiān)測(cè)防火墻（）、會(huì)話（）、安全規(guī)則（）、網(wǎng)絡(luò)地址轉(zhuǎn)換（）、透明的代理服務(wù)（）、信息過濾（）、非軍事化區(qū)（）、入侵檢測(cè)功能（）5.1防火墻概述防火墻的英文名為“”，是目前一種最重要的網(wǎng)絡(luò)安全防護(hù)設(shè)備。防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合。這項(xiàng)技術(shù)作為一種網(wǎng)絡(luò)安全的工具已發(fā)展若干年。古時(shí)候,人們常在寓所之間砌起一道磚墻，一旦火災(zāi)發(fā)生，它能夠防止火勢(shì)蔓延到別的寓所，這種墻稱作“防火墻”。在網(wǎng)絡(luò)時(shí)代，當(dāng)一個(gè)網(wǎng)絡(luò)接入以后用戶就可以與外部世界相互通信，出于安全目的，在該網(wǎng)絡(luò)和之間插入一個(gè)中介系統(tǒng)，豎起一道安全屏障，這道屏障作為保證本網(wǎng)絡(luò)的安全和審計(jì)的唯一關(guān)卡，可以阻斷來自外部世界的威脅和入侵。這種中介系統(tǒng)被稱為網(wǎng)絡(luò)世界中的防火墻或防火墻系統(tǒng)。防火墻的主要作用是提供行之有效的網(wǎng)絡(luò)安全機(jī)制，同時(shí)其本身也是網(wǎng)絡(luò)安全策略的有機(jī)組成部分。它作為不同網(wǎng)絡(luò)或網(wǎng)絡(luò)安全域之間信息的出入口，能根據(jù)用戶設(shè)定的安全策略控制和監(jiān)測(cè)網(wǎng)絡(luò)之間的信息流，且本身具有較強(qiáng)的抗攻擊能力。目前，雖然還沒有哪一種安全機(jī)制可以完全地確保網(wǎng)絡(luò)的安全，但無疑防火墻系統(tǒng)將給自己的內(nèi)部網(wǎng)絡(luò)提供巨大的安全保障。使用防火墻可以有效地防止黑客入侵，抵御來自外部網(wǎng)絡(luò)的攻擊，保證內(nèi)部系統(tǒng)的資料安全，一般可為電信、郵政、政府、教育、能源、金融、企業(yè)等各部門以及個(gè)人的現(xiàn)有網(wǎng)絡(luò)提供有效、安全的保護(hù)措施。5.2防火墻的設(shè)計(jì)和實(shí)現(xiàn)防火墻通常在兩個(gè)網(wǎng)絡(luò)間實(shí)現(xiàn)訪問控制：一個(gè)是用戶信任的網(wǎng)絡(luò)，需要受到保護(hù)被稱為內(nèi)部網(wǎng)絡(luò)，另一個(gè)是內(nèi)部網(wǎng)絡(luò)之外的非安全網(wǎng)絡(luò)，不被用戶信任，被稱為外部網(wǎng)絡(luò)。防火墻就位于一個(gè)受信任的網(wǎng)絡(luò)（內(nèi)部網(wǎng)絡(luò)）和一個(gè)不受信任的網(wǎng)絡(luò)（外部網(wǎng)絡(luò)）之間，通過一系列的規(guī)則來保護(hù)內(nèi)部網(wǎng)絡(luò)的信息，不被外部網(wǎng)絡(luò)非授權(quán)訪問。這些規(guī)則被稱為安全策略。5.2.1防火墻的主要設(shè)計(jì)思想

最初的防火墻設(shè)計(jì)思想是對(duì)內(nèi)部網(wǎng)絡(luò)總是信任的，而對(duì)外部網(wǎng)絡(luò)卻總是不信任的，所以最初的防火墻是只對(duì)外部進(jìn)來的通信進(jìn)行過濾，而對(duì)內(nèi)部網(wǎng)絡(luò)用戶發(fā)出的通信不作限制。當(dāng)然目前的防火墻在過濾機(jī)制上有所改變，不僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信連接要進(jìn)行過濾，對(duì)內(nèi)部網(wǎng)絡(luò)用戶發(fā)出的部分連接請(qǐng)求和數(shù)據(jù)包同樣需要過濾，但防火墻仍只對(duì)符合安全策略的通信予以通過。在邏輯上，防火墻是一種分離器、分析器和限制器的結(jié)合，可以按照事先設(shè)定的安全策略規(guī)則監(jiān)控內(nèi)部網(wǎng)和之間的信息流活動(dòng)，保證內(nèi)部網(wǎng)絡(luò)的安全。防火墻通常是放在外部因特網(wǎng)絡(luò)和內(nèi)部網(wǎng)絡(luò)之間，以保證內(nèi)部網(wǎng)絡(luò)的安全。其邏輯示意圖如下:圖5.1防火墻邏輯位置示意圖防火墻可以使企業(yè)內(nèi)部網(wǎng)絡(luò)（）網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間互相隔離、限制網(wǎng)絡(luò)互訪來實(shí)現(xiàn)保護(hù)內(nèi)部網(wǎng)絡(luò)的目的。防火墻一般具有以下三個(gè)方面的基本特性：1、網(wǎng)絡(luò)間數(shù)據(jù)流通過唯一性

這是由防火墻所處邏輯位置決定的，同時(shí)也是一個(gè)部署防火墻的前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)內(nèi)部網(wǎng)絡(luò)不會(huì)遭受攻擊和入侵。一般而言防火墻非常適用于內(nèi)部網(wǎng)絡(luò)系統(tǒng)的邊界，屬于內(nèi)部網(wǎng)絡(luò)的安全保護(hù)設(shè)備，即防火墻的邏輯位置一直處于網(wǎng)絡(luò)的邊界上。網(wǎng)絡(luò)邊界是指采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如內(nèi)部網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。建立防火墻的目的就是在網(wǎng)絡(luò)邊界之間建立一個(gè)安全控制點(diǎn)、中轉(zhuǎn)站，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。

典型的防火墻部署位置如下圖所示。在這里我們可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部網(wǎng)絡(luò)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。圖5.2

典型的防火墻部署位置圖2、安全策略合法性

防火墻最基本的功能是確保網(wǎng)絡(luò)數(shù)據(jù)流通過時(shí)相對(duì)于事先設(shè)定的安全策略的合法性，并在此前提下將網(wǎng)絡(luò)的數(shù)據(jù)流快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。最簡單的防火墻模型，是一種被稱為“雙穴主機(jī)”的技術(shù)，實(shí)現(xiàn)起來非常簡單，即使用一臺(tái)具備兩個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)，該臺(tái)計(jì)算機(jī)同時(shí)擁有兩個(gè)網(wǎng)絡(luò)層地址，非常類似于現(xiàn)在的代理服務(wù)器。但“雙穴主機(jī)”的主要作用是對(duì)從一個(gè)網(wǎng)絡(luò)層地址流到另一個(gè)網(wǎng)絡(luò)層地址的數(shù)據(jù)流進(jìn)行過濾。實(shí)際上至今我們所使用的防火墻技術(shù)的工作原理仍然是將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問規(guī)則和安全審查，然后將符合通過條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對(duì)于那些不符合通過條件的報(bào)文則予以阻斷、拋棄。從這個(gè)角度上來說，防火墻是一個(gè)多端口的（網(wǎng)絡(luò)接口>=2）數(shù)據(jù)轉(zhuǎn)發(fā)設(shè)備，類似于橋接或路由器，它跨接于多個(gè)分離的物理網(wǎng)段之間，并在數(shù)據(jù)報(bào)文轉(zhuǎn)發(fā)過程之中完成對(duì)報(bào)文的審查過濾工作。圖5.3

數(shù)據(jù)報(bào)文審查過濾邏輯圖3、抗攻擊入侵特性既然防火墻的邏輯位置位于網(wǎng)絡(luò)邊界又具有安全保衛(wèi)的責(zé)任。大家試想一下我們?yōu)楸Ｕ衔覀兊淖陨戆踩?，高價(jià)聘用一位保安，如果這個(gè)保安十分脆弱不堪一擊，連自己都保護(hù)不了，那他對(duì)我們而言就沒有任何存在的價(jià)值。因此防火墻必須具有非常強(qiáng)的抗攻擊能力，也是擔(dān)當(dāng)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊界，就像一個(gè)邊界衛(wèi)士，每時(shí)每刻都要面對(duì)黑客的入侵。這一特性的前提實(shí)現(xiàn)的關(guān)鍵是防火墻操作系統(tǒng)本身，只有自身具有完整信任關(guān)系的搞穩(wěn)定性操作系統(tǒng)才可以保證整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全性。另外防火墻一般自身只提供具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，不提供任何其它應(yīng)用程序在防火墻上的運(yùn)行環(huán)境，即不允許任何其它應(yīng)用程序在防火墻系統(tǒng)上運(yùn)行。當(dāng)然由于防火墻操作系統(tǒng)本身也是屬于操作系統(tǒng)的一種，因此其必然具有操作系統(tǒng)的特性，也就是說防火墻操作系統(tǒng)安全也是相對(duì)的，而不是絕對(duì)安全。圖5．4防火墻邏輯示意圖防火墻的重要的作用：1、在不危及內(nèi)部網(wǎng)絡(luò)數(shù)據(jù)與其它資源的前提下允許本地用戶使用外部網(wǎng)絡(luò)的資源，并且防火墻針對(duì)內(nèi)部用戶具有透明性。內(nèi)部用戶一般很難察覺到防火墻的存在，但對(duì)于外部用戶卻像是一個(gè)不可逾越的堅(jiān)強(qiáng)堡壘。

2、將外部未被授權(quán)的用戶屏蔽在內(nèi)部網(wǎng)絡(luò)之外而無法使用內(nèi)部的資源通過利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，實(shí)現(xiàn)內(nèi)部網(wǎng)重點(diǎn)網(wǎng)段的隔離，限制局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對(duì)整個(gè)內(nèi)部網(wǎng)絡(luò)造成的影響。隱私是內(nèi)部網(wǎng)絡(luò)非常關(guān)心的問題，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)很可能包含了有關(guān)安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細(xì)節(jié)的服務(wù)如，等服務(wù)。顯示了主機(jī)的所有用戶的注冊(cè)名、姓名，最后登錄時(shí)間和使用類型等。但是顯示的信息非常容易被攻擊者所獲悉。通過服務(wù)得到的信息攻擊者可以知道一個(gè)系統(tǒng)使用的頻繁程度，以及這個(gè)系統(tǒng)是否有用戶正在連線上網(wǎng)等等。防火墻同樣可以阻塞有關(guān)內(nèi)部網(wǎng)絡(luò)中的信息，保證內(nèi)部主機(jī)的域名和地址就不會(huì)被外界所了解，避免了針對(duì)內(nèi)部網(wǎng)絡(luò)具體某臺(tái)主機(jī)的攻擊。3、對(duì)網(wǎng)絡(luò)存取和訪問等信息數(shù)據(jù)進(jìn)行監(jiān)控審計(jì)：如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時(shí)也可以為用戶提供網(wǎng)絡(luò)使用情況的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑情況時(shí)，防火墻將進(jìn)行適當(dāng)?shù)膱?bào)警，通過某些手段通知網(wǎng)絡(luò)管理員，并向管理員提供網(wǎng)絡(luò)受到監(jiān)測(cè)和攻擊的詳細(xì)信息。使我們可以清楚的指導(dǎo)防火墻是否能夠抵擋攻擊者的探測(cè)和攻擊，并且清楚防火墻的控制是否充足的重要信息。另外網(wǎng)絡(luò)使用統(tǒng)計(jì)對(duì)網(wǎng)絡(luò)需求分析和威脅分析等而言也是非常重要的，并可以幫助我們了解內(nèi)部用戶對(duì)外網(wǎng)訪問的情況，根據(jù)有關(guān)資料對(duì)某些不安全、問題站點(diǎn)進(jìn)行屏蔽，總而避免內(nèi)部用戶對(duì)不安全站點(diǎn)的誤訪問。5.2.2防火墻技術(shù)的具體實(shí)現(xiàn)首先讓我們對(duì)目前主流防火墻進(jìn)行一下分類：一、從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻以及工業(yè)芯片級(jí)防火墻。

1、軟件防火墻

軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，需要客戶預(yù)先安裝好的計(jì)算機(jī)硬件設(shè)備以及安裝的操作系統(tǒng)的支持，這某種意義上這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)同時(shí)也充當(dāng)著網(wǎng)關(guān)的角色，也被稱為“個(gè)人防火墻”。軟件防火墻就像其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過于，在后面我們還要就軟件防火墻進(jìn)一步分析。目前國內(nèi)比較出名，并被廣泛使用的軟件防火墻主要是天網(wǎng)軟件防火墻。軟件防火墻不需要專門的硬件支持，可以大量節(jié)省費(fèi)用，但使用這類防火墻，往往需要網(wǎng)絡(luò)管理員對(duì)所網(wǎng)絡(luò)安全知識(shí)有很深入的了解。另外由于該類防火墻沒有專用硬件的支持，并且依靠計(jì)算機(jī)自身的操作系統(tǒng)，所以存在運(yùn)行當(dāng)中都存在的穩(wěn)定性欠缺，以及整體系統(tǒng)安全結(jié)構(gòu)的當(dāng)面對(duì)入侵攻擊時(shí)具有脆弱性的一面。2、硬件防火墻

這里說的硬件防火墻是指“所謂的硬件防火墻”，在本書中如未明確指出的防火墻都是這一類防火墻。實(shí)際上這種防火墻是專用硬件和專用操作系統(tǒng)的結(jié)合。目前市場(chǎng)上大多數(shù)防火墻都是這種硬件防火墻，一般都是基于架構(gòu)，在某種程度上可以將這些架構(gòu)的防火墻看作一種特殊用途的計(jì)算機(jī)，并且在這種特殊計(jì)算機(jī)上運(yùn)行的是一些經(jīng)過裁剪和簡化的專用操作系統(tǒng)，最常用的經(jīng)過特殊改編的、和系統(tǒng)。另外，由于此類防火墻采用的依然是架構(gòu)的硬件作為的內(nèi)核，因此依然會(huì)受到（操作系統(tǒng)）本身的安全性的影響。

3、芯片級(jí)防火墻

芯片級(jí)防火墻是完全基于專門的硬件平臺(tái)，沒有操作系統(tǒng)（由硬件完成操作系統(tǒng)的功能）。專有的芯片使這種防火墻比其他種類的防火墻速度更快，處理能力更強(qiáng)，性能更高。但同時(shí)價(jià)格相對(duì)比較高昂。二、從傳統(tǒng)觀念上分，防火墻總體來講可分為“包過濾方式”和“應(yīng)用代理方式”兩大類。“包過濾方式”以以色列的防火墻和美國公司的防火墻為代表，“應(yīng)用代理方式”以美國公司的防火墻為代表。

1、包過濾()

包過濾方式防火墻工作在網(wǎng)絡(luò)參考模型的網(wǎng)絡(luò)層和傳輸層，工作原理是根據(jù)數(shù)據(jù)包頭源地址，目的地址、端口號(hào)和協(xié)議類型等標(biāo)志確定是否允許通過。只有滿足過濾條件的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的地，其余數(shù)據(jù)包則被從數(shù)據(jù)流中丟棄。圖5.5包過濾示意圖包過濾方式是一種通用、廉價(jià)和有效的安全手段。包過濾不是針對(duì)各個(gè)具體的網(wǎng)絡(luò)服務(wù)采取特殊的處理方式，適用于所有網(wǎng)絡(luò)服務(wù)。另外大多數(shù)路由器本身就提供數(shù)據(jù)包過濾功能，所以這類防火墻多數(shù)是集成在路由器上。包過濾技術(shù)包括了兩種不同版本。靜態(tài)包過濾方式是與路由器同時(shí)產(chǎn)生的，并且同路由器密不可分。其工作原理是根據(jù)定義好的過濾規(guī)則檢查每個(gè)數(shù)據(jù)包，確定是否與某一條包過濾規(guī)則匹配。過濾規(guī)則的工作原理是基于數(shù)據(jù)包的報(bào)頭信息制訂。報(bào)頭信息中包括源地址、目標(biāo)地址、傳輸協(xié)議(、、等等)、目標(biāo)端口、消息類型等。但擴(kuò)展性差，一般難以勝任復(fù)雜的應(yīng)用程序要求，工作具有一定的局限性。圖5.6包過濾在七層次中的實(shí)現(xiàn)位置示意圖一動(dòng)態(tài)包過濾方式采用動(dòng)態(tài)設(shè)置包過濾規(guī)則的方法，避免了靜態(tài)包過濾所具有的問題。動(dòng)態(tài)包過濾為后來的包狀態(tài)監(jiān)測(cè)()技術(shù)打下的基礎(chǔ)。采用這種技術(shù)的工作原理是對(duì)通過防火墻建立的每一個(gè)連接都進(jìn)行跟蹤，并且根據(jù)需要可動(dòng)態(tài)地在過濾規(guī)則中增加或更新條目。包過濾方式可以在不用改動(dòng)客戶機(jī)和主機(jī)上的應(yīng)用程序的情況下，更新過濾規(guī)則。這是因?yàn)樗ぷ髟诰W(wǎng)絡(luò)層和傳輸層，與應(yīng)用層無關(guān)。但同時(shí)也由于過濾判別的依據(jù)只是網(wǎng)絡(luò)層和傳輸層的有限信息，因而各種安全要求不可能充分滿足。，不能對(duì)用戶身份進(jìn)行驗(yàn)證，對(duì)“地址欺騙型”攻擊無能為力。目前由于許多硬件原因在過濾器中，過濾規(guī)則的數(shù)目并不是可以無限增加的，而是有限制的。并且隨著規(guī)則數(shù)目的增加，性能會(huì)受到很大地影響；由于缺少上下文關(guān)聯(lián)信息，不能有效地過濾如、這一類的協(xié)議。另外，大多數(shù)這類防火墻的過濾器中都缺少審計(jì)和報(bào)警機(jī)制，只能依據(jù)包頭信息進(jìn)行審查圖5.7包過濾在七層次中的實(shí)現(xiàn)位置示意圖二2、應(yīng)用代理()

應(yīng)用代理方式防火墻是工作在的最高層，即應(yīng)用層。其特點(diǎn)是完全分隔了網(wǎng)絡(luò)通信流，通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序，實(shí)現(xiàn)監(jiān)視和控制應(yīng)用層通信流的作用。應(yīng)用代理也包括了兩種不同版本。其典型網(wǎng)絡(luò)結(jié)構(gòu)如圖所示:圖5.8

應(yīng)用代理方式防火墻的邏輯位置示意圖應(yīng)用網(wǎng)關(guān)()方式是通過一種代理()技術(shù)參與到一個(gè)連接的全過程。從內(nèi)部發(fā)出的數(shù)據(jù)包經(jīng)過這樣的防火墻處理后，就好像是源于防火墻外部網(wǎng)卡一樣，從而可以達(dá)到隱藏內(nèi)部網(wǎng)絡(luò)的作用。它的實(shí)質(zhì)就是代理服務(wù)器技術(shù)。圖5.9

應(yīng)用網(wǎng)關(guān)在中的實(shí)現(xiàn)示意圖自適應(yīng)代理()方式

是結(jié)合代理類型方式的安全性和包過濾方式的高速度特點(diǎn)，保證安全為前提的基礎(chǔ)之上提高工作性能的方法。自適應(yīng)代理方式必須采用兩個(gè)相對(duì)獨(dú)立的組件：自適應(yīng)代理服務(wù)器()組件與動(dòng)態(tài)包過濾器()組件，并通過通道方法連接著兩個(gè)相對(duì)獨(dú)立的工作單元。圖5.10自適應(yīng)代理方式防火墻在中的實(shí)現(xiàn)示意圖“自適應(yīng)代理服務(wù)器”與“動(dòng)態(tài)包過濾器”之間存在一個(gè)控制通道，在對(duì)防火墻進(jìn)行配置時(shí)，用戶首先需要的設(shè)置防火墻的服務(wù)類型、安全級(jí)別等參數(shù)，然后自適應(yīng)代理根據(jù)用戶的配置信息即安全策略，自動(dòng)對(duì)數(shù)據(jù)流進(jìn)行判斷是否使用代理服務(wù)直接從應(yīng)用層代理請(qǐng)求，或者從網(wǎng)絡(luò)層轉(zhuǎn)發(fā)數(shù)據(jù)包。另外如果需要使用動(dòng)態(tài)包過濾器，防火墻還要?jiǎng)討B(tài)地通知包過濾器增減過濾規(guī)則。通過這一方式可以基本滿足用戶對(duì)防火墻速度和安全性的雙重要求。

總以上分析，可以看出代理類型防火墻的最突出的優(yōu)點(diǎn)就是安全。由于它工作于最高層，所以它可以對(duì)網(wǎng)絡(luò)中任何一層數(shù)據(jù)通信進(jìn)行篩選保護(hù)，而不是像包過濾那樣，只是對(duì)網(wǎng)絡(luò)層的數(shù)據(jù)進(jìn)行過濾。另外代理型防火墻采取是一種代理機(jī)制，它可以為每一種應(yīng)用服務(wù)建立一個(gè)專門的代理，所以內(nèi)外部網(wǎng)絡(luò)之間的通信不是直接的，而都需先經(jīng)過代理服務(wù)器審核，通過后再由代理服務(wù)器代為連接，根本沒有給內(nèi)、外部網(wǎng)絡(luò)計(jì)算機(jī)任何直接會(huì)話的機(jī)會(huì)，從而避免了入侵者使用數(shù)據(jù)驅(qū)動(dòng)類型的攻擊方式入侵內(nèi)部網(wǎng)。代理防火墻的主要缺點(diǎn)集中在速度相對(duì)比較慢上，當(dāng)用戶對(duì)內(nèi)外部網(wǎng)絡(luò)網(wǎng)關(guān)的吞吐量要求比較高時(shí)，代理防火墻就會(huì)成為內(nèi)外部網(wǎng)絡(luò)之間的瓶頸。其主要原因是因?yàn)榉阑饓π枰獮椴煌木W(wǎng)絡(luò)服務(wù)建立專門的代理服務(wù)，在自己的代理程序?yàn)閮?nèi)、外部網(wǎng)絡(luò)用戶建立連接時(shí)需要時(shí)間和消耗相當(dāng)大的資源，但這些資源的消耗在技術(shù)高速發(fā)展的今天，已經(jīng)變得不很明顯了。三、從防火墻結(jié)構(gòu)上分為：單一主機(jī)防火墻、路由器集成式防火墻。1、單一主機(jī)防火墻是最為傳統(tǒng)的防火墻，獨(dú)立于其它網(wǎng)絡(luò)設(shè)備，位于網(wǎng)絡(luò)邊界。這種防火墻的物理結(jié)構(gòu)和邏輯結(jié)構(gòu)都與一臺(tái)計(jì)算機(jī)極為接近，即也是由、主板、內(nèi)存、硬盤等基本組件組成，并且主板上也有南、北橋芯片之分。另外這類防火墻一般集成兩個(gè)以上的以太網(wǎng)卡，使用雙網(wǎng)卡區(qū)分內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)，并將內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)聯(lián)系起來。同計(jì)算機(jī)結(jié)構(gòu)相同單一主機(jī)防火墻的硬盤用來存儲(chǔ)防火墻所用的基本程序，例如，包過濾程序、代理服務(wù)器程序以及日志記錄。從理論上講單一主機(jī)防火墻和“雙穴主機(jī)”極為相近，但由于單一主機(jī)防火墻的工作性質(zhì)的需要，決定了它同普通的雙網(wǎng)卡計(jì)算機(jī)相比必須要具備更高的穩(wěn)定性、實(shí)用性，具備極高的數(shù)據(jù)吞吐性能。另外在價(jià)格上單一主機(jī)防火墻也遠(yuǎn)遠(yuǎn)超過了普通計(jì)算機(jī)。圖5．11單一主機(jī)防火墻內(nèi)部結(jié)構(gòu)2、今天隨著防火墻技術(shù)的不斷發(fā)展，單一主機(jī)防火墻已經(jīng)漸漸退出市場(chǎng)。主要原因是現(xiàn)在許多中、高檔的路由器中本身就已經(jīng)集成了單一主機(jī)防火墻的功能。例如，防火墻系列。這款防火墻就是采用較低級(jí)的包過濾方式，并將路由器和防火墻的功能合二為一，被人們稱之為路由器集成式防火墻，采用路由器集成式防火墻可以大大降低網(wǎng)絡(luò)設(shè)備購買成本。但由于技術(shù)的原因，路由器集成式防火墻只能是在路由器的基礎(chǔ)上集成簡單的包過濾方式。因此路由器集成式防火墻一般不具備專業(yè)防火墻強(qiáng)大功能和高性能。只適用于那些采用簡單網(wǎng)絡(luò)結(jié)構(gòu)并且網(wǎng)絡(luò)安全需求不高的網(wǎng)絡(luò)系統(tǒng).四、按防火墻的應(yīng)用部署位置分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類。1、邊界防火墻是最為傳統(tǒng)的那種，位于內(nèi)、外部網(wǎng)絡(luò)的邊界，作用主要是實(shí)現(xiàn)對(duì)內(nèi)、外部網(wǎng)絡(luò)實(shí)施隔離，保護(hù)內(nèi)部網(wǎng)絡(luò)。邊界防火墻一般都是硬件設(shè)備，價(jià)格高。2、個(gè)人防火墻安裝于單臺(tái)主機(jī)中，一般防護(hù)的也只是單臺(tái)主機(jī)（代理服務(wù)器除外）。個(gè)人防火墻一般應(yīng)用于廣大的個(gè)人用戶，大多數(shù)采用軟件方式，價(jià)格便宜，但性能比較差。3、混合式防火墻是由一整套防火墻系統(tǒng)構(gòu)成，需要若干個(gè)軟、硬件組件組成，分布于內(nèi)部網(wǎng)絡(luò)、網(wǎng)絡(luò)邊界，既對(duì)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間通信數(shù)據(jù)進(jìn)行過濾，又對(duì)網(wǎng)絡(luò)內(nèi)部網(wǎng)絡(luò)間的通信進(jìn)行過濾。這種防火墻技術(shù)實(shí)現(xiàn)起來最為復(fù)雜，需要專業(yè)人員對(duì)整個(gè)網(wǎng)絡(luò)進(jìn)行安全規(guī)劃，并在同一規(guī)劃的基礎(chǔ)上協(xié)調(diào)部署，混合式防火墻的特點(diǎn)是性能好，價(jià)格不菲，擴(kuò)展性差。五、如果按防火墻的性能來分可以分為百兆級(jí)防火墻、千兆級(jí)、萬兆級(jí)防火墻兩類。因?yàn)榉阑饓νǔＮ挥诰W(wǎng)絡(luò)邊界，必須保證高數(shù)據(jù)吞吐量。這里主要是指防火的通道帶寬()，或者說是吞吐率。當(dāng)然吞吐率越寬，性能越高，因包過濾或應(yīng)用代理等工作所產(chǎn)生的延時(shí)也越小，對(duì)整個(gè)網(wǎng)絡(luò)通信的性能影響也就越小。六、防火墻從實(shí)現(xiàn)技術(shù)來講，可以分為幾種類型形式：包過濾型防火墻（）、電路級(jí)網(wǎng)關(guān)（）、應(yīng)用級(jí)網(wǎng)關(guān)（）、狀態(tài)監(jiān)測(cè)防火墻（）1.包過濾防火墻采用路由器或者在計(jì)算機(jī)上運(yùn)行的軟件對(duì)進(jìn)出的數(shù)據(jù)包作檢測(cè)。例如，目前中所有傳輸?shù)臄?shù)據(jù)包，大多數(shù)使用的是協(xié)議；防火墻就是通過檢查和的數(shù)據(jù)包頭的信息來決定同意或拒絕該數(shù)據(jù)包，市場(chǎng)上的大多數(shù)防火墻都能按照源地址、目標(biāo)地址、應(yīng)用或協(xié)議、源端口號(hào)、目標(biāo)端口號(hào)等數(shù)據(jù)作為判斷標(biāo)準(zhǔn)，在規(guī)則表中定義規(guī)則以判斷是否允許或拒絕數(shù)據(jù)包的通過。它的工作核心是安全策略即過濾算法的設(shè)計(jì)。包過濾防火墻主要工作在模型的第三層（網(wǎng)絡(luò)層）。這種防火墻具有很好的傳輸性能、速度快、實(shí)現(xiàn)方便、易擴(kuò)展，但審計(jì)功能較差、安全性也相對(duì)較低。應(yīng)用層表示層會(huì)話層傳輸層網(wǎng)絡(luò)層數(shù)據(jù)鏈路層物理層包過濾檢測(cè)圖5.12包過濾檢測(cè)在結(jié)構(gòu)中實(shí)現(xiàn)的示意圖2.電路級(jí)防火墻采用監(jiān)控內(nèi)部網(wǎng)絡(luò)客戶機(jī)或服務(wù)器與外部網(wǎng)絡(luò)主機(jī)間的握手信息，來決定該會(huì)話（）是否合法，是否允許建立通訊。眾所周知，使用協(xié)議，首先必須通過三次握手建立起連接，然后才開始發(fā)送數(shù)據(jù)。電路級(jí)防火墻通過在三次握手過程中，檢查雙方的、和序列數(shù)據(jù)是否符合邏輯，來判斷該請(qǐng)求的會(huì)話是否合法。一旦防火墻認(rèn)為會(huì)話是合法的，就會(huì)為雙方建立連接，以后防火墻僅對(duì)數(shù)據(jù)進(jìn)行復(fù)制傳遞，不再進(jìn)行過濾判斷。由于電路級(jí)防火墻需要依靠特殊的應(yīng)用程序來完成復(fù)制傳遞數(shù)據(jù)的工作，所以這種防火墻一般與其他的應(yīng)用級(jí)防火墻結(jié)合在一起。電路級(jí)防火墻是在模型中會(huì)話層來過濾數(shù)據(jù)包。這種防火墻