防火墙的三大分类（图）_防火墙_基础信息化_信息化文库

近期热点

·	信息网络安全防范的几种措施
·	企业网络安全的规划设计与实践
·	网络安全之我见
·	制造执行系统（MES）的应用与发展
·	PDM与CAX、ERP集成技术研究
·	微波EDA电磁仿真软件应用

相关文章

·	蜜罐信息采集技术分析
·	安全防线企业VPN防火墙导购
·	网络安全之我见
·	TCP/IP网络的信息安全与防火墙技术
·	进化中的Web应用防火墙
·	守护者也会有漏洞防火墙不是万能的

相关博客

·	部署代理防火墙的优势与缺陷
·	伟大的中国国家防火墙GFW！

相关新闻

·	龙芯再战防火墙挑战英特尔芯片
·	侠诺FVR420v喜获渠道媒体“最佳渠道支持奖”
·	Qno侠诺新品全球第一台会说话防火墙路由
·	Resilience举办亚洲巡回研讨会
·	国内防火墙已站稳脚跟
·	国内防火墙市场同比增长66.8%

相关热贴

·	最强劲的企业级应用层防火墙Microsoft ISA Server你真的了解吗？
·	最强劲的企业级应用层防火墙Microsoft ISA Server你真的了解吗？
·	选购防火墙的十项注意
·	让你瞧瞧黑客眼中的防火墙与路由器
·	中间人纵横灰色地带跨国公司商业贿赂防火墙
·	为了销售防火墙厂商充当黑客

相关商城商品

当前位置：基础信息化 -> 防火墙

防火墙的三大分类（图）

发表时间：2004-7-12 来源：

关键字：防火墙

防火墙处于5层网络安全体系中的最底层，属于网络层安全技术范畴。在这一层上，企业对安全系统提出的问题是：所有的IP是否都能访问到企业的内部网络系统？如果答案是 “是”，则说明企业内部网还没有在网络层采取相应的防范措施。

作为内部网络与外部公共网络之间的第一道屏障，防火墙是最先受到人们重视的网络安全产品之一。虽然从理论上看，防火墙处于网络安全的最底层，负责网络间的安全认证与传输，但随着网络安全技术的整体发展和网络应用的不断变化，现代防火墙技术已经逐步走向网络层之外的其他安全层次，不仅要完成传统防火墙的过滤任务，同时还能为各种网络应用提供相应的安全服务。另外还有多种防火墙产品正朝着数据安全与用户认证、防止病毒与黑客侵入等方向发展。

根据防火墙所采用的技术不同，我们可以将它分为三种基本类型：包过滤型、代理型和监测型。

　　1、包过滤防防火墙

　　第一代：静态包过滤

　　这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。

图1 简单包过滤防火墙

　　第二代：动态包过滤

　　这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪，并且根据需要可动态地在过滤规则中增加或更绿跄俊?。

图2 动态包过滤防火墙

　　
　　2、代理防火墙

　　第一代：代理防火墙

　　代理防火墙也叫应用层网关（Application Gateway）防火墙。这种防火墙通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。

　　所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的Proxy应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。

　　代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生的重要人物递交一份声明一样，如果你先将这份声明交给你的律师，然后律师就会审查你的声明，确认没有什么负面的影响后才由他交给那个陌生人。在此期间，陌生人对你的存在一无所知，如果要对你进行侵犯，他面对的将是你的律师，而你的律师当然比你更加清楚该如何对付这种人。

图3 传统代理型防火墙

　　代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75-100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。所幸的是，目前用户接入Internet的速度一般都远低于这个数字。在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网（ATM或千兆位以太网等）之间的防火墙。

　　第二代：自适应代理防火墙

　　自适应代理技术（Adaptive proxy）是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter）。

图4 自适应代理防火墙

　　在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时，用户仅仅将所需要的服务类型、安全级别等信息通过相应Proxy的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，满足用户对速度和安全性的双重要求。

3、监测型防火墙

监测型防火墙是新一代的产品，这一技术实际已经超越了最初的防火墙定义。监测型防火墙能够对各层的数据进行主动的、实时的监测，在对这些数据加以分析的基础上，监测型防火墙能够有效地判断出各层中的非法侵入。同时，这种检测型防火墙产品一般还带有分布式探测器，这些探测器安置在各种应用服务器和其他网络的节点之中，不仅能够检测来自网络外部的攻击，同时对来自内部的恶意破坏也有极强的防范作用。据权威机构统计，在针对网络系统的攻击中，有相当比例的攻击来自网络内部。因此，监测型防火墙不仅超越了传统防火墙的定义，而且在安全性上也超越了前两代产品。

虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以第二代代理型产品为主，但在某些方面也已经开始使用监测型防火墙。基于对系统成本与安全技术成本的综合考虑，用户可以选择性地使用某些监测型技术。这样既能够保证网络系统的安全性需求，同时也能有效地控制安全系统的总拥有成本。


	责任编辑：张龚