深入分析防火墙的原理与实现.docVIP

深入分析防火墙的原理与实现

深入分析防火墙的原理与实现

一、防火墙的概念

近年来，随着普通计算机用户群的日益增长，“防火墙”一词已经不再是服务器领域的专署，大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是，并不是所有用户都对“防火墙”有所了解的，一部分用户甚至认为，“防火墙”是一种软件的名称……

到底什么才是防火墙？它工作在什么位置，起着什么作用？查阅历史书籍可知，古代构筑和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称为“防火墙”（firewall）。时光飞梭，随着计算机和网络的发展，各种攻击入侵手段也相继出现了，为了保护计算机的安全，人们开发出一种能阻止计算机之间直接通信的技术，并沿用了古代类似这个功能的名字——“防火墙”技术来源于此。用专业术语来说，防火墙是一种位于两个或多个网络间，实施网络之间访问控制的组件集合。对于普通用户来说，所谓“防火墙”，指的就是一种被放置在自己的计算机与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了对计算机的保护功能。

防火墙技术从诞生开始，就在一刻不停的发展着，各种不同结构不同功能的防火墙，构筑成网络上的一道道防御大堤。

二.防火墙的分类

世界上没有一种事物是唯一的，防火墙也一样，为了更有效率的对付网络上各种不同攻击手段，防火墙也派分出几种防御架构。根据物理特性，防火墙分为两大类，硬件防火墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个人计算机上的特殊程序，它是以逻辑形式存在的，防火墙程序跟随系统启动，通过运行在ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动之间，形成一种逻辑上的防御体系。

在没有软件防火墙之前，系统和网络接口设

度紧密集合，而且由于它的工作性质决定了它要具备非常高的稳定性、实用性和非常高的系统吞吐性能，这些要求并不是安装了多网卡的计算机就能简单替代的，因此pc架构防火墙虽然是与计算机差不多的配置，价格却相差很大。

现实中我们往往会发现，并非所有企业都架设了芯片级硬件防火墙，而是用pc架构防火墙甚至前面提到的计算机替代方案支撑着，为什么？这大概就是硬件防火墙最显著的缺点了：它太贵了！购进一台pc架构防火墙的成本至少都要几千元，高档次的芯片级防火墙方案更是在十万元以上，这些价格并非是小企业所能承受的，而且对于一般家庭用户而言，自己的数据和系统安全也无需专门用到一个硬件设备去保护，何况为一台防火墙投入的资金足以让用户购买更高档的电脑了，因而广大用户只要安装一种好用的软件防火墙就够了。

为防火墙分类的方法很多，除了从形式上把它分为软件防火墙和硬件防火墙以外，还可以从技术上分为“包过滤型”、“应用代理型”和“状态监视”三类；从结构上又分为单一主机防火墙、路由集成式防火墙和分布式防火墙三种；按工作位置分为边界防火墙、个人防火墙和混合防火墙；按防火墙性能分为百兆级防火墙和千兆级防火墙两类……虽然看似种类繁多，但这只是因为业界分类方法不同罢了，例如一台硬件防火墙就可能由于结构、数据吞吐量和工作位置而规划为“百兆级状态监视型边界防火墙”，因此这里主要介绍的是技术方面的分类，即“包过滤型”、“应用代理型”和“状态监视型”防火墙技术。

那么，那些所谓的“边界防火墙”、“单一主机防火墙”又是什么概念呢？所谓“边界”，就是指两个网络之间的接口处，工作于此的防火墙就被称为“边界防火墙”；与之相对的有“个人防火墙”，它们通常是基于软件的防火墙，只处理一台计算机的数据而不是整个网络的数据，现在一般家庭用户使用的软件防火墙就是这个分类了。而“单一主机防火墙”呢，就是我们最常见的一台台硬件防火墙了；一些厂商为了节约成本，直接把防火墙功能嵌进路由设备里，就形成了路由集成式防火墙……

三.防火墙技术

传统意义上的防火墙技术分为三大类，“包过滤”（packetfiltering）、“应用代理”（applicationproxy）和“状态监视”（statefulinspection），无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。

1.包过滤技术

包过滤是最早使用的一种防火墙技术，它的第一代模型是“静态包过滤”（staticpacketfiltering），使用包过滤技术的防火墙通常工作在osi模型中的网络层（networklayer）上，后来发展更新的“动态包过滤”（dynamicpacketfiltering）增加了传输层（transportlayer），简而言之，包过滤技术工作的地方就是