防火墙的五大功能

　　一般来说，防火墙具有以下几种功能：

　　1．允许网络管理员定义一个中心点来防止非法用户进入内部网络。

　　2．可以很方便地监视网络的安全性，并报警。

　　3．可以作为部署NAT（Network Address Translation，网络地址变换）的地点，利用NAT技术，将有限的IP地址动态或静态地与内部的IP地址对应起来，用来缓解地址空间短缺的问题。

　　4．是审计和记录Internet使用费用的一个最佳地点。网络管理员可以在此向管理部门提供Internet连接的费用情况，查出潜在的带宽瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

　　两种防火墙技术的对比

　　包过滤防火墙

　　优点

　　价格较低

　　性能开销小，处理速度较快
    缺点

　　定义复杂，容易出现因配置不当带来问题

　　允许数据包直接通过，容易造成数据驱动式攻击的潜在危险
　　代理防火墙

　　内置了专门为了提高安全性而编制的Proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理

　　速度较慢，不太适用于高速网（ATM或千兆位以太网等）之间的应用

　　5．可以连接到一个单独的网段上，从物理上和内部网段隔开，并在此部署WWW服务器和FTP服务器，将其作为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。

　　防火墙的两大分类

　　尽管防火墙的发展经过了上述的几代，但是按照防火墙对内外来往数据的处理方法，大致可以将防火墙分为两大体系：包过滤防火墙和代理防火墙（应用层网关防火墙）。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后者以美国NAI公司的Gauntlet防火墙为代表。

　　1．包过滤防?

　　第一代：静态包过滤

　　这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。

    第二代：动态包过滤

　　这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更绿跄俊?

　　图2 动态包过滤防火墙
　　2． 代理防火墙

　　第一代：代理防火墙

　　代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。

　　所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的Proxy应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。
    代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生的重要人物递交一份声明一样，如果你先将这份声明交给你的律师，然后律师就会审查你的声明，确认没有什么负面的影响后才由他交给那个陌生人。在此期间，陌生人对你的存在一无所知，如果要对你进行侵犯，他面对的将是你的律师，而你的律师当然比你更加清楚该如何对付这种人。

　图3 传统代理型防火墙
　　代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75-100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。所幸的是，目前用户接入Internet的速度一般都远低于这个数字。在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网（ATM或千兆位以太网等）之间的防火墙。

　　第二代：自适应代理防火墙

　　自适应代理技术（Adaptive proxy）是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter）。

　　图4 自适应代理防火墙
    在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。

    小资料

　　防火墙的发展史

　　第一代防火墙

　　第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。下图表示了防火墙技术的简单发展历史。

　　第二、三代防火墙

　　1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

　　第四代防火墙

　　1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

　　第五代防火墙

　　1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

 为了应付这种威胁，一些公司开始应用入侵检测系统(IDS)。IDS的思路是监视经过你的防火墙的全部通信并且查找可能是恶意的通信。这个思路在理论上是非常好的，但是，在实际上，IDS系统由于某些原因的影响工作得并不好。

    早期的IDS系统通过查找任何异常的通信发挥作用。当检测到异常的通信时，这种行动将被记录下来并且向管理员发出警报。这个过程很少出现问题。对于初始者来说，查找异常通信方式会产生很多错误的报告。经过一段时间之后，管理员会对收到过多的错误警报感到厌烦，从而完全忽略IDS系统的警告。

    IDS系统的另一个主要缺陷是它们仅监视主要的通信。如果检测到一种攻击，它将提醒管理员采取行动。人们认为IDS系统采取的这种方法是很好的。总之，由于IDS系统会产生很多的错误报告，你真的愿意让IDS系统对合法的网络通信采取行动吗?

    在过去的几年里，IDS系统已经有了很大的进步。目前，IDS系统的工作方式更像是一种杀毒软件。IDS系统包含一个名为攻击签名的数据库。这个系统不断地把入网的通信与数据库中的信息进行比较。如果检测到攻击行动，IDS系统就发出这个攻击的报告。

    比较新的IDS系统比以前的系统更准确一些。但是，这个数据库需要不断地更新以保持有效性。而且，如果发生了攻击并且在数据库中没有相匹配的签名，这个攻击可能就会被忽略。即使这个攻击被检测到了并且被证实是一种攻击，IDS系统除了向管理员发出警报和记录这个攻击之外没有力量做出任何事情。

    这就是入侵防御系统(IPS)的任务了。IPS与IDS类似，但是，IPS在设计上解决了IDS的一些缺陷。

    对于初始者来说，IPS位于你的防火墙和网络的设备之间。这样，如果检测到攻击，IPS会在这种攻击扩散到网络的其它地方之前阻止这个恶意的通信。相比之下，IDS只是存在于你的网络之外起到报警的作用，而不是在你的网络前面起到防御的作用。

    IPS检测攻击的方法灿隝DS不同。目前有很多种IPS系统，它们使用的技术都不相同。但是，一般来说，IPS系统都依靠对数据包的检测。IPS将检查入网的数据包，确定这种数据包的真正用途，然后决定是否允许这种数据包进入你的网络。

    正如你所看到的，IDS和IPS系统有一些重要的区别。如果你要购买有效的安全设备，如果你使用IPS而不是使用IDS，你的网络通常会更安全。