包过滤防火墙是最快的防火墙，这是因为它们的操作处 于网络层并且只是粗略检查特定的连接的合法性。例如， HTTP通常为Web服务连接使用80号端口。如果公司的安全 策略允许内部职员访问网站，包过滤防火墙可能设置允许所 有的连接通过80号这一缺省端口。不幸的是，像这样的假设 会造成实质上的安全危机。当包过滤防火墙假设来自80端口 的传输通常是标准Web服务连接时，它对于应用层实际所发 生的事件的能见度为零。任何意识到这一缺陷的人都可通过 在80端口上绑定其它没有被认证的服务，从而进入私有网络 而不会被阻塞。
10.1 防火墙的概念、原理
防火墙是在内部网和外部网之间实施安全防范的系统。 可认为它是一种访问控制机制，用于确定哪些内部服务对外 开放，以及允许哪些外部服务对内部开放。它可以根据网络 传输的类型决定IP包是否可以进出企业网、防止非授权用户 访问企业内部、允许使用授权机器的用户远程访问企业内部、 管理企业内部人员对Internet的访问。防火墙的组成可用表 达式说明如下：
的防火墙安全机制。他们相信真正可靠的安全防火墙应该禁 止所有通过防火墙的直接连接—在协议栈的最高层检验所有 的输入数据。为测试这一理论，DARPA (Defense Advanced Research Projects Agency)同在华盛顿享有较高声望的以可信 信息系统著称的高级安全研究机构签订了合同，以开发安全 的“应用级代理”防火墙。这一研究最终造就了 Gauntlet(/)，它是第一代为DARPA和美国 国防部的最高标准设计的商业化应用级代理防火墙。
内部网
过滤
过滤
外部网
图10-1 防火墙示意图
பைடு நூலகம்
防火墙是放置在两个网络之间的一些组件，这组组件具 有下列性质：
(1) 双向通信必须通过防火墙； (2) 防火墙本身不会影响信息的流通； (3) 只允许本身安全策略授权的通信信息通过。 从诞生到现在，防火墙已经历了四个发展阶段：基于路 由器的防火墙、用户化的防火墙工具套、建立在通用操作系 统上的防火墙、具有安全操作系统的防火墙。目前，防火墙 供应商提供的大部分都是具有安全操作系统的软硬件结合的 防火墙。
防火墙作为网络防护的第一道防线，它由软件或/和硬 件设备组合而成，它位于企业或网络群体计算机与外界通道 (Internet)的边界，限制着外界用户对内部网络的访问以及管 理内部用户访问外界网络的权限。
防火墙是一种必不可少的安全增强点，它将不可信网络 同可信任网络隔离开(如图10-1所示)。防火墙筛选两个网络 间所有的连接，决定哪些传输应该被允许哪些应该被禁止。 这取决于网络制定的某一形式的安全策略。
应用级代理防火墙模式提供了十分先进的安全控制机制， 如图10-3所示。它通过在协议栈的最高层(应用层)检查每一 个包从而提供足够的应用级连接信息。因为在应用层中它有 足够的能见度，应用级代理防火墙能很容易看见前面提及的 每一个连接的细节从而实现各种安全策略。例如，这种防火 墙很容易识别重要的应用程序命令，象FTP的“put”上传请 求和“get”下载请求。
防火墙主要提供以下四种服务： (1) 服务控制：确定可以访问的网络服务类型。 (2) 方向控制：特定服务的方向流控制。 (3) 用户控制：内部用户、外部用户所需的某种形式的 认证机制。 (4) 行为控制：控制如何使用某种特定的服务。
10.2 防火墙技术(层次)
第一代防火墙出现在大约十年前，它是一种简单的包过 滤路由器形式。当今，有多种防火墙技术供网络安全管理员 选择。防火墙一般可以分为以下几种：包过滤型防火墙、应 用网关型防火墙、电路级网关防火墙、状态检测型防火墙、 自适应代理型防火墙。下面具体分析各种防火墙技术。
第10章 防火墙技术
10.1 防火墙的概念、原理 10.2 防火墙技术(层次) 10.3 防火墙体系结构 10.4 包过滤技术 10.5 堡垒主机(Bastion) 10.6 应用网关和代理服务器 参考文献 思考题
防火墙(firewall)原是汽车中一个部件的名称。在汽车中， 利用防火墙把乘客和引擎隔开，以便汽车引擎一旦着火，防 火墙不但能保护乘客安全，同时还能让司机继续控制引擎。 在电脑中，防火墙是一种设备，可使个别网路不受公共部分 (因特网)的影响。后来，将防火墙电脑简称为“防火墙”， 它分别连接受保护网络和因特网。
许多安全专家也批评包过滤防火墙，因为端点之间可以 通过防火墙建立直接连接。一旦防火墙允许某一连接，就会 允许外部源直接连接到防火墙后的目标，从而潜在的暴露了 内部网络，使之容易遭到攻击。
10.2.2 应用代理防火墙(Application Layer) 在包过滤防火墙出现不久，许多安全专家开始寻找更好
Internet
包过滤 路由器
安全边界
内 部 网
图10-2 包过滤防火墙
考虑包过滤路由器同守卫的类比。当装载有包的运输卡 车到达时，“包过滤”守卫快速的察看包的住户地址是否正 确，检查卡车的标识(证件)以确保它也是正确的，接着送卡 车通过关卡传递包。虽然这种方法比没有关卡更安全，但是 它还是比较容易通过并且会使整个内部网络暴露于危险之中。
10.2.1 包过滤防火墙(TCP、IP) 包是网络上信息流动的基本单位。它由数据负载和协议
头两个部分组成。包过滤作为最早、最简单的防火墙技术， 正是基于协议头的内容进行过滤。术语“包过滤”通过将每 一输入/输出包中发现的信息同访问控制规则相比较来决定 阻塞或放行包。通过检查数据流中每一个数据包的源地址、 目的地址、所用端口、协议状态等因素，或它们的组合来确 定是否允许该数据包通过。如果包在这一测试中失败，将在 防火墙处被丢弃。包过滤防火墙如图10-2所示。
防火墙 = 过滤器 + 安全策略(网关)
防火墙通过逐一审查收到的每个数据包，判断它是否有 相匹配的过滤规则(用表格的形式表示，包括Match，Action， Trace，Target四个条件项)。即按表格中规则的先后顺序以 及每条规则的条件逐项进行比较，直到满足某一条规则的条 件，并作出规定的动作(中止或向前转发)，从而来保护网络 的安全。