防火墙指南之技术篇.docVIP

　　常见防火墙的类型主要有两种：包过滤和代理防火墙，每种都有各自的优缺点： 　　包过滤（Packet Filtering） 　　图2 包过滤处理 　　数据包过滤是一个网络安全保护机制，它用来控制流出和流入网络的数据。通过控制存在于某一网段的网络流量类型，包过滤可以控制存在于某一网段的服务方式。不符合网络安全的那些服务将被严格限制。基于包中的协议类型和协议字段值，过滤路由器能够区分网络流量；基于协议特定的标准，路由器在其端口能够区分包和限制包的能力叫包过滤（Packet Filtering）。正是因为这种原因，过滤路由器也可以称作包过滤路由器（Packet Filter Router）。 　　包过滤的优点: 　　* 一个过滤路由器能协助保护整个网络 　　数据包过滤的主要优点之一是，一个单个的、恰当放置的包过滤路由器有助于保护整个网络。如果仅有一个路由器连接内部与外部网络，不论内部网络的大小、内部拓朴结构，通过那个路由器进行数据包过滤，在网络安全保护上就取得较好的效果。 　　* 数据包过滤对用户透明 　　不像在后面描述的代理（Proxy），数据包过滤不要求任何自定义软件或者客户机配置，它也不要求用户任何特殊的训练或者操作。当数据包过滤路由器决定让数据包通过时，它与普通路由器没什么区别。比较理想的情况是：甚至用户将没有认识到它的存在，除非他们试图做过滤规则中所禁止的事。较强的“透明度”是包过滤的一大优势。 　　* 过滤路由器速度快、效率高 　　较Proxy而言，过滤路由器只检查报头相应的字段，一般不查看数据报的内容，而且某些核心部分是由专用硬件实现的，故其转发速度快、效率较高。 　　包过滤的缺点： 　　* 不能彻底防止地址欺骗 　　大多数包过滤路由器都是基于源IP地址、目的IP地址而进行过滤的。而IP地址的伪造是很容易、很普遍的。过滤路由器在这点上大都无能为力。即使按MAC地址进行绑定，也是不可信的。对于一些安全性要求较高的网络，过滤路由器是不能胜任的。 　　* 一些应用协议不适合于数据包过滤 　　即使是完美的数据包过滤实现，也会发现一些协议不很适合于经由数据包过滤安全保护。如RPC、X- Window和FTP。而且，服务代理和HTTP的链接，大大削弱了基于源地址和源端口的过滤功能。 　　图3 代理的工作方式 　　* 正常的数据包过滤路由器无法执行某些安全策略 　　数据包过滤路由器上的信息不能完全满足我们对安全策略的需求。例如，数据包说它们来自什么主机（这点还有隐患），而不是什么用户，因此，我们不能强行限制特殊的用户。同样地，数据包说它到什么端口，而不是到什么应用程序；当我们通过端口号对高级协议强行限制时，不希望在端口上有别的指定协议之外的协议，恶意的知情者能够很容易地破坏这种控制。 　　* 数据包工具存在很多局限性 　　除了各种各样的硬件和软件包普遍具有数据包过滤能力外，数据包过滤仍然算不上是一个完美的工具。许多这样的产品都或多或少地存在局限性，如数据包过滤规则难以配置。 　　从以上分析可以看出，包过滤防火墙技术虽然能确保一定的安全保护，且也有许多优点，但是包过滤毕竟是第一代防火墙技术，本身存在较多缺陷，不能提供较高的安全性。在实际应用中，现在很少把包过滤技术当作单独的安全解决方案，而是把它与其它防火墙技术揉合在一起使用。 　　代理防火墙（Proxy） 　　代理防火墙是一种较新型的防火墙技术，它分为应用层网关和电路层网关。 　　应用层网关 　　这种防火墙的工作方式和过滤数据包的防火墙、以路由器为基础的防火墙的工作方式稍有不同。它是基于软件的。 　　代理防火墙的原理 　　代理防火墙工作于应用层，且针对特定的应用层协议。代理防火墙通过编程来弄清用户应用层的流量，并能在用户层和应用协议层提供访问控制。而且，还可用来保持一个所有应用程序使用的记录。记录和控制所有进出流量的能力是应用层网关的主要优点之一。那么，代理防火墙是怎样工作的呢？如图3所示： 　　从图中可以看出，代理服务器作为内部网络客户端的服务器，拦截住所有要求，也向客户端转发响应。代理客户（Proxy Client）负责代表内部客户端向外部服务器发出请求，当然也向代理服务器转发响应。 　　当某用户（不管是远程的还是本地的）想和一个运行代理的网络建立联系时，此代理（应用层网关）会阻塞这个连接，然后对连接请求的各个域进行检查。如果此连接请求符合预定的安全策略或规则，代理防火墙便会在用户和服务器之间建立一个“桥”，从而保证其通讯。对不符合预定的安全规则的，则阻塞或抛弃。换句话说，“桥”上设置了很多控制。 　　电路层网关 　　另一种类型的代理技术称为电路层网关（Circ