防火墙技术课程总结姓名：学号：摘要：防火墙是提供信息安全服务、实现网络和信息安全的基础设施之一，一般安装在被保护区域的边界处，被保护区域与Internet 网之间的防火墙可以有效控制区域内部网络与外部网络之间的访问和数据传输，进而达到保护区域内部信息安全的目的，同时，通过防火墙的检测控制可以过滤掉很多非法信息。

本文介绍了防火墙的基本概念和传统意义上的3大类防火墙，即包过滤防火墙、应用代理网关防火墙、状态检测防火墙，并对其进行了分析，比较其优缺点。

无论一个防火墙的实现过程多么复杂，归根结底都是在这三种技术的基础上进行功能扩展的。

文章还对防火墙的主要发展趋势进行了介绍，高性能、多端口、高粒度控制、减缓病毒和垃圾邮件传播速度、对入侵行为智能切断、以及增强抗DoS攻击能力的防火墙，将是未来防火墙发展的趋势。

对防火墙的分析，了解其局限性，从而引入了入侵检测。

入侵检测通过对计算机网络或计算机系统中的若干关键点收集信息并进行分析，从中发现网络或系统中是否有违反安全策略的行为和被攻击的迹象。

它对防火墙技术的局限性进行了补充，因此，文章也做了简要的介绍。

Abstract: The firewall is one of the infrastructuresto provide information security services, network and information security ,it is usually installed in the boundary of protected areas, the firewallbetween the protected areas and the Internet can effectively control the accession and data transmission between the internal network and external network, and thus to achieve the purpose of protecting informationsecurity in the region, while the detection and control of the firewall can filter out a lot of illegal information.This article describes the basic concept of firewalls and three categories of the traditional firewall, that is, packet filtering firewall, application proxy gateway firewall, status inspection firewall, and analyzes them to compare their advantages and disadvantages.No matter how complex the implementation process of a firewall, it is all based onthese three technologies. The article also introduces the major trends of the firewall, high-performance, multi-port, high granularity control, slowing the spread of viruses and spam, the intrusion cut off intelligently, and enhancing resistance to DoS attacks, the firewall above will be the development trends. Acquired through the analysis of the firewall, we understand its limitations, thus introducetheIntrusion Detection. Through the collection information of a number of key points in computer network or computer system and analysis of them, Intrusion Detectionfound whetherthere are actionsagainstsecurity policiesor signs of attack. It reinforcethe firewall of its limitations, therefore, the article also gives a brief introduction.一、定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。

是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

防火墙其实是一种将内部网和公众访问网(如Internet)分开的方法，一种隔离技术。

防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

二、分类防火墙技术经历了包过滤防火墙、应用代理网关防火墙、再到状态检测防火墙三个阶段。

1、包过滤防火墙包过滤是最早使用的一种防火墙技术，工作在网络层，它的第一代模型是“静态包过滤”（static packet filtering），使用包过滤技术的防火墙通常工作在osi模型中的网络层（network layer）上，后来发展更新的“动态包过滤”（dynamic packet filtering）增加了传输层（transport layer），简而言之，包过滤技术工作的地方就是各种基于tcp/ip协议的数据报文进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则（filtering rule）进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。

由于只对数据包的IP地址、TCP/UDP协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。

但是包过滤防火墙是最初级的防火墙，实现功能比较简单，因此具有很多的缺陷：1)过滤规则设置困难，防护不全面。

适当的设置过滤规则可以让防火墙工作得更安全有效，但是这种技术只能根据预设的过滤规则进行判断，一旦出现一个没有在设计人员意料之中的有害数据包请求，整个防火墙的保护就相当于摆设了。

动态包过滤功能在保持着原有静态包过滤技术和过滤规则的基础上，会对已经成功与计算机连接的报文传输进行跟踪，并且判断该连接发送的数据包是否会对系统构成威胁，一旦触发其判断机制，防火墙就会自动产生新的临时过滤规则或者把已经存在的过滤规则进行修改，从而阻止该有害数据的继续传输，但是由于动态包过滤需要消耗额外的资源和时间来提取数据包内容进行判断处理，所以与静态包过滤相比，它会降低运行效率。

2)不支持应用层协议，控制粒度粗糙。

假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用HTTP协议），不允许去外网下载电影（一般使用FTP协议）。

包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。

3)防火墙对待内部主动发起连接的攻击一般无法阻止。

综上可见，包过滤防火墙技术面太过初级，就好比一位保安只能根据访客来自哪个省市来判断是否允许他（她）进入一样，难以履行保护内网安全的职责。

2、应用代理网关技术应用代理网关防火墙彻底隔断内网与外网的直接通信，内网用户对外网的访问变成防火墙对外网的访问，然后再由防火墙转发给内网用户。

所有通信都必须经应用层代理软件转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。

应用代理网关的优点是可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强。

但其缺点也非常突出，主要有：1）难于配置，防护不全面。

由于每个应用都要求单独的代理进程，这就要求网管能理解每项应用协议的弱点，并能合理的配置安全策略，由于配置繁琐，难于理解，容易出现配置失误，最终影响内网的安全防范能力。

2）处理速度非常慢，容易导致拥塞。

断掉所有的连接，由防火墙重新建立连接，理论上可以使应用代理防火墙具有极高的安全性。

但是实际应用中并不可行，因为对于内网的每个Web访问请求，应用代理都需要开一个单独的代理进程，它要保护内网的Web服务器、数据库服务器、文件服务器、邮件服务器，及业务程序等，就需要建立一个个的服务代理，以处理客户端的访问请求。

这样，应用代理的处理延迟会很大，内网用户的正常Web访问不能及时得到响应。

3）防火墙核心要求预先内置一些已知应用程序的代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。

3、状态检测技术我们知道，Internet上传输的数据都必须遵循TCP/IP协议，根据TCP 协议，每个可靠连接的建立需要经过“客户端同步请求”、“服务器应答”、“客户端再应答”三个阶段，我们最常用到的Web浏览、文件下载、收发邮件等都要经过这三个阶段。

这反映出数据包并不是独立的，而是前后之间有着密切的状态联系，基于这种状态变化，引出了状态检测技术。

状态检测防火墙摒弃了包过滤防火墙仅考查数据包的IP地址等几个参数，而不关心数据包连接状态变化的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。

状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。

网关防火墙的一个挑战就是能处理的流量，状态检测技术在大为提高安全防范能力的同时也改进了流量处理速度。

状态监测技术采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。