電腦防火牆的基礎常識

　　防火牆能增強機構內部網路的安全性。防火牆系統決定了哪些內部服務可以被外界訪問;外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火牆必須只允許授權的資料通過，而且防火牆本身也必須能夠免於滲透。

防火牆的五大功能

一般來說，電腦防火牆具有以下幾種功能：

1.允許網路管理員定義一箇中心點來防止非法使用者進入內部網路。

2.可以很方便地監視網路的安全性，並報警。

3.可以作為部署NAT(Network Address Translation，網路地址變換)的地點，利用NAT技術，將有限的IP地址動態或靜態地與內部的IP地址對應起來，用來緩解地址空間短缺的問題。

4.是審計和記錄Internet使用費用的一個最佳地點。網路管理員可以在此向管理部門提供Internet連線的費用情況，查出潛在的頻寬瓶頸位置，並能夠依據本機構的核算模式提供部門級的計費。

兩種防火牆技術的對比

包過濾防火牆

優點

價格較低

效能開銷小，處理速度較快

缺點

定義複雜，容易出現因配置不當帶來問題

允許資料包直接通過，容易造成資料驅動式攻擊的潛在危險

代理防火牆

內建了專門為了提高安全性而編制的Proxy應用程式，能夠透徹地理解相關服務的命令，對來往的資料包進行安全化處理

速度較慢，不太適用於高速網(ATM或千兆位乙太網等)之間的應用

5.可以連線到一個單獨的網段上，從物理上和內部網段隔開，並在此部署WWW伺服器和FTP伺服器，將其作為向外部發布內部資訊的地點。從技術角度來講，就是所謂的停火區(DMZ)。

　防火牆的兩大分類

儘管防火牆的發展經過了上述的幾代，但是按照防火牆對內外來往資料的處理方法，大致可以將防火牆分為兩大體系：包過濾防火牆和代理防火牆(應用層閘道器防 火牆)。前者以以色列的Checkpoint防火牆和Cisco公司的`PIX防火牆為代表，後者以美國NAI公司的Gauntlet防火牆為代表。

1.包過濾防?

第一代：靜態包過濾

這種型別的防火牆根據定義好的過濾規則審查每個資料包，以便確定其是否與某一條包過濾規則匹配。過濾規則基於資料包的報頭資訊進行制訂。報頭資訊中包括 IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標埠、ICMP訊息型別等。包過濾型別的防火牆要遵循的一條基 本原則是“最小特權原則”，即明確允許那些管理員希望通過的資料包，禁止其他的資料包。　　2. 代理防火牆

第一代：代理防火牆

代理防火牆也叫應用層閘道器(Application Gateway)防火牆。這種防火牆通過一種代理(Proxy)技術參與到一個TCP連線的全過程。從內部發出的資料包經過這樣的防火牆處理後，就好像是 源於防火牆外部網絡卡一樣，從而可以達到隱藏內部網結構的作用。這種型別的防火牆被網路安全專家和媒體公認為是最安全的防火牆。它的核心技術就是代理伺服器 技術。

所謂代理伺服器，是指代表客戶處理在伺服器連線請求的程式。當代理伺服器得到一個客戶的連線意圖 時，它們將核實客戶請求，並經過特定的安全化的Proxy應用程式處理連線請求，將處理後的請求傳遞到真實的伺服器上，然後接受伺服器應答，並做進一步處 理後，將答覆交給發出請求的最終客戶。代理伺服器在外部網路向內部網路申請服務時發揮了中間轉接的作用。

代理型別防火牆的最突出的優點就是安全。由於每一個內外網路之間的連線都要通過Proxy的介入和轉換，通過專門為特定的服務如Http編寫的安全化的應 用程式進行處理，然後由防火牆本身提交請求和應答，沒有給內外網路的計算機以任何直接會話的機會，從而避免了入侵者使用資料驅動型別的攻擊方式入侵內部 網。包過濾型別的防火牆是很難徹底避免這一漏洞的。就像你要向一個陌生的重要人物遞交一份宣告一樣，如果你先將這份宣告交給你的律師，然後律師就會審查你 的宣告，確認沒有什麼負面的影響後才由他交給那個陌生人。在此期間，陌生人對你的存在一無所知，如果要對你進行侵犯，他面對的將是你的律師，而你的律師當 然比你更加清楚該如何對付這種人。

代理防火牆的最大缺點就是速度相對比較慢，當用戶對內外網路閘道器的吞吐量要求 比較高時，(比如要求達到75-100Mbps時)代理防火牆就會成為內外網路之間的瓶頸。所幸的是，目前使用者接入Internet的速度一般都遠低於這 個數字。在現實環境中，要考慮使用包過濾型別防火牆來滿足速度要求的情況，大部分是高速網(ATM或千兆位乙太網等)之間的防火牆。

第二代：自適應代理防火牆

自適應代理技術(Adaptive proxy)是最近在商業應用防火牆中實現的一種革命性的技術。它可以結合代理型別防火牆的安全性和包過濾防火牆的高速度等優點，在毫不損失安全性的基礎 之上將代理型防火牆的效能提高10倍以上。組成這種型別防火牆的基本要素有兩個：自適應代理伺服器(Adaptive Proxy Server)與動態包過濾器(Dynamic Packet filter)。

在自適應代理與動態包過濾器之間存在一個控制通道。在對防火牆進行配置時，使用者僅僅將所需要的服務型別、安全級別等資訊通過相應Proxy的管理介面進行 設定就可以了。然後，自適應代理就可以根據使用者的配置資訊，決定是使用代理服務從應用層代理請求還是從網路層轉發包。如果是後者，它將動態地通知包過濾器 增減過濾規則，滿足使用者對速度和安全性的雙重要求。