防火牆介紹（1）(轉)

防火牆介紹（1）(轉)[@more@]

Internet的日益普及，網際網路上的瀏覽訪問，不僅使資料傳輸量增加，網

絡被攻擊的可能性增大，而且由於Internet的開放性，網路安全防護的方

式發生了根本變化，使得安全問題更為複雜。傳統的網路強調統一而集中

的安全管理和控制，可採取加密、認證、訪問控制、審計以及日誌等多種

技術手段，且它們的實施可由通訊雙方共同完成；而由於Internet是一個

開放的全球網路，其網路結構錯綜複雜，因此安全防護方式截然不同。

Internet的安全技術涉及傳統的網路安全技術和分散式網路安全技術，且

主要是用來解決如何利用Internet進行安全通訊，同時保護內部網路免受

外部攻擊。在此情形下，防火牆技術應運而生。 防火牆技術可根據防範

的方式和側重點的不同而分為很多種型別，但總體來講可分為包過濾、應

用級閘道器和代理伺服器等幾大型別。 1. 資料包過濾型防火牆 資料包過

濾(Packet Filtering)技術是在網路層對資料包進行選擇，選擇的依據

是系統內設定的過濾邏輯，被稱為訪問控制表(Access Control

Table)。透過檢查資料流中每個資料包的源地址、目的地址、所用的埠

號、協議狀態等因素，或它們的組合來確定是否允許該資料包透過。 數

據包過濾防火牆邏輯簡單，價格便宜，易於安裝和使用，網路效能和透明

性好，它通常安裝在路由器上。路由器是內部網路與Internet連線必不可

少的裝置，因此在原有網路上增加這樣的防火牆幾乎不需要任何額外的費

用。 資料包過濾防火牆的缺點有二：一是非法訪問一旦突破防火牆，即

可對主機上的軟體和配置漏洞進行攻擊；二是資料包的源地址、目的地址

以及IP的埠號都在資料包的頭部，很有可能被竊聽或假冒。 分組過濾

或包過濾，是一種通用、廉價、有效的安全手段。之所以通用，因為它不

針對各個具體的網路服務採取特殊的處理方式；之所以廉價，因為大多數

路由器都提供分組過濾功能；之所以有效，因為它能很大程度地滿足企業

的安全要求。 所根據的資訊來源於IP、TCP或UDP包頭。 包過濾的優點

是不用改動客戶機和主機上的應用程式，因為它工作在網路層和傳輸層，

與應用層無關。但其弱點也是明顯的：據以過濾判別的只有網路層和傳輸

層的有限資訊，因而各種安全要求不可能充分滿足；在許多過濾器中，過

濾規則的數目是有限制的，且隨著規則數目的增加，效能會受到很大地影

響；由於缺少上下文關聯資訊，不能有效地過濾如UDP、RPC一類的協議；

另外，大多數過濾器中缺少審計和報警機制，且管理方式和使用者介面較

差；對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其

在不同應用程式中的作用有較深入的理解。因此，過濾器通常是和應用網

關配合使用，共同組成防火牆系統。 2. 應用級閘道器型防火牆 應用級網

關(Application Level Gateways)是在網路應用層上建立協議過濾和轉

發功能。它針對特定的網路應用服務協議使用指定的資料過濾邏輯，並在

過濾的同時，對資料包進行必要的分析、登記和統計，形成報告。實際中

的應用閘道器通常安裝在專用工作站系統上。 資料包過濾和應用閘道器防火

牆有一個共同的特點，就是它們僅僅依靠特定的邏輯判定是否允許資料包

透過。一旦滿足邏輯，則防火牆內外的計算機系統建立直接聯絡，防火牆

外部的使用者便有可能直接瞭解防火牆內部的網路結構和執行狀態，這有利

於實施非法訪問和攻擊。 3. 代理服務型防火牆 代理服務(Proxy

Service)也稱鏈路級閘道器或TCP通道(Circuit Level Gateways or

TCP Tunnels)，也有人將它歸於應用級閘道器一類。它是針對資料包過濾

和應用閘道器技術存在的缺點而引入的防火牆技術，其特點是將所有跨越防

火牆的網路通訊鏈路分為兩段。防火牆內外計算機系統間應用層的 " 鏈

接 "，由兩個終止代理伺服器上的 " 連結 "來實現，外部計算機的

網路鏈路只能到達代理伺服器，從而起到了隔離防火牆內外計算機系統的

作用。 此外，代理服務也對過往的資料包進行分析、註冊登記，形成報

告，同時當發現被攻擊跡象時會向網路管理員發出警報，並保留攻擊痕

跡。 應用代理型防火牆是內部網與外部網的隔離點，起著監視和隔絕應

用層通訊流的作 用。同時也常結合入過濾器的功能。它工作在OSI模型的

最高層，掌握著應用系統中可用作安全決策的全部資訊。 4. 複合型防火

牆 由於對更高安全性的要求，常把基於包過濾的方法與基於應用代理的

方法結合起來，形成複合型防火牆產品。這種結合通常是以下兩種方

案。 遮蔽主機防火牆體系結構：在該結構中，分組過濾路由器或防火牆

與Internet相連，同時一個堡壘機安裝在內部網路，透過在分組過濾路由

器或防火牆上過濾規則的設定，使堡壘機成為Internet上其它節點所能到

達的唯一節點，這確保了內部網路不受未授權外部使用者的攻擊。 遮蔽子

網防火牆體系結構：堡壘機放在一個子網內，形成非軍事化區，兩個分組

過濾路由器放在這一子網的兩端，使這一子網與Internet及內部網路分

離。在遮蔽子網防火牆體系結構中，堡壘主機和分組過濾路由器共同構成

了整個防火牆的安全基礎