网络安全基础：防火墙的概念及实现原理

• 　　有人也许会这么想，既然PC架构的防火墙也不过如此，那么购买这种防火墙还不如自己找技术人员专门腾出一台计算机来做防火墙方案了。虽然这样做也是可以的，但是工作效率并不能和真正的PC架构防火墙相比，因为PC架构防火墙采用的是专门修改简化过的系统和相应防火墙程序，比一般计算机系统和软件防火墙更高度紧密集合，而且由于它的工作性质决定了它要具备非常高的稳定性、实用性和非常高的系统吞吐性能，这些要求并不是安装了多网卡的计算机就能简单替代的，因此PC架构防火墙虽然是与计算机差不多的配置，价格却相差很大。

  　　现实中我们往往会发现，并非所有企业都架设了芯片级硬件防火墙，而是用PC架构防火墙甚至前面提到的计算机替代方案支撑着，为什么？这大概就是硬件防火墙最显著的缺点了：它太贵了！购进一台PC架构防火墙的成本至少都要几千元，高档次的芯片级防火墙方案更是在十万元以上，这些价格并非是小企业所能承受的，而且对于一般家庭用户而言，自己的数据和系统安全也无需专门用到一个硬件设备去保护，何况为一台防火墙投入的资金足以让用户购买更高档的电脑了，因而广大用户只要安装一种好用的软件防火墙就够了。

  　　为防火墙分类的方法很多，除了从形式上把它分为软件防火墙和硬件防火墙以外，还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类；从结构上又分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种；按工作位置分为边界防火墙、个人防火墙和混合防火墙；按防火墙性能分为百兆级防火墙和千兆级防火墙两类……虽然看似种类繁多，但这只是因为业界分类方法不同罢了，例如一台硬件防火墙就可能由于结构、数据吞吐量和工作位置而规划为“百兆级状态监视型边界防火墙”，因此这里主要介绍的是技术方面的分类，即“包过滤型”、“应用代理型”和“状态监视型”防火墙技术。

  　　那么，那些所谓的“边界防火墙”、“单一主机防火墙”又是什么概念呢？所谓“边界”，就是指两个网络之间的接口处，工作于此的防火墙就被称为“边界防火墙”；与之相对的有“个人防火墙”，它们通常是基于软件的防火墙，只处理一台计算机的数据而不是整个网络的数据，现在一般家庭用户使用的软件防火墙就是这个分类了。而“单一主机防火墙”呢，就是我们最常见的一台台硬件防火墙了；一些厂商为了节约成本，直接把防火墙功能嵌进路由设备里，就形成了路由集成式防火墙……

  　　三. 防火墙技术

  　　传统意义上的防火墙技术分为三大类，“包过滤”（Packet Filtering）、“应用代理”（Application Proxy）和“状态监视”（Stateful Inspection），无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。

  　　1.包过滤技术

  　　包过滤是最早使用的一种防火墙技术，它的第一代模型是“静态包过滤”（Static Packet Filtering），使用包过滤技术的防火墙通常工作在OSI模型中的网络层（Network Layer）上，后来发展更新的“动态包过滤”（Dynamic Packet Filtering）增加了传输层（Transport Layer），简而言之，包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则（Filtering Rule）进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。适当的设置过滤规则可以让防火墙工作得更安全有效，但是这种技术只能根据预设的过滤规则进行判断，一旦出现一个没有在设计人员意料之中的有害数据包请求，整个防火墙的保护就相当于摆设了。也许你会想，让用户自行添加不行吗？但是别忘了，我们要为是普通计算机用户考虑，并不是所有人都了解网络协议的，如果防火墙工具出现了过滤遗漏问题，他们只能等着被入侵了。一些公司采用定期从网络升级过滤规则的方法，这个创意固然可以方便一部分家庭用户，但是对相对比较专业的用户而言，却不见得就是好事，因为他们可能会有根据自己的机器环境设定和改动的规则，如果这个规则刚好和升级到的规则发生冲突，用户就该郁闷了，而且如果两条规则冲突了，防火墙该听谁的，会不会当场“死给你看”（崩溃）？也许就因为考虑到这些因素，至今我没见过有多少个产品会提供过滤规则更新功能的，这并不能和杀毒软件的病毒特征库升级原理相提并论。为了解决这种鱼与熊掌的问题，人们对包过滤技术进行了改进，这种改进后的技术称为“动态包过滤”（市场上存在一种“基于状态的包过滤防火墙”技术，即Stateful-based Packet Filtering，他们其实是同一类型），与它的前辈相比，动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上，会对已经成功与计算机连接的报文传输进行跟踪，并且判断该连接发送的数据包是否会对系统构成威胁，一旦触发其判断机制，防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改，从而阻止该有害数据的继续传输，但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理，所以与静态包过滤相比，它会降低运行效率，但是静态包过滤已经几乎退出市场了，我们能选择的，大部分也只有动态包过滤防火墙了。

  
  

• 上一页 [1] [2] [3] [4] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• 网络安全基础：防火墙的概念及实现原理 相关文章：
• ·从头到尾教你组建小型局域网
• ·关于局域网限制网速的问题
• ·校园网网络方案设计及分析
• ·某大学校园网设计方案六(组图)
• ·为什么iexplore.exe在打开网页时CPU使用会100%？
• ·局域网常用的DOS查询IP地址命令
• ·1394网络适配器是什么东西?
• ·网络拓扑图--解决方案
• ·如何进行局域网设置
• ·如何实现局域网打印机共享
• 网络安全基础：防火墙的概念及实现原理 相关软件
• ·沸点网络电视 V1.5
• ·万能网卡驱动
• ·PPS网络电视(PPStream)V2.2.20.1030 正式版
• ·天天直播网视(TTlive) V3.0.7.1 正式版
• ·申银万国神网E通 V5.68 金典版
• ·网络电影王 2007 II V1.383 正式版
• ·快门-教育网内网络电话 V4.5.0.5448
• ·网络还原精灵(网吧专用版) 2006 V3.2.1.0
• ·东海龙网大智慧 V5.57
• ·CNNIC中文上网专杀工具 V1.0

上一篇:C#中从HTML生成DOM TreeView的代码

下一篇:JSP渐进学习教程2

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐