（1）网络防火墙。
（2）主机防火墙。
（3）中心管理服务器。
3． 分布式防火墙的工作模式
分布式防火墙的基本工作模式是：由 中心管理服务器统一制定安全策略，然后 将这些定义好的策略分发到各个相关节点。 而安全策略的执行则由相关主机节点独立 实施，由各主机产生的安全日志集中保存 在中心管理服务器上。分布式防火墙的工 作模式如图8-9所示。
2． 基于IP地址和TCP/UDP端口的安全规 则
如果要在个人防火墙上实现基于IP地址 和TCP/UDP端口的控制将非常容易。
如图8-5所示，当网络管理员在防火墙上设置
了过滤规则后，在防火墙中会形成一个过滤规则 表。当数据包进入防火墙时，防火墙会将IP分组 的头部信息与过滤规则表进行逐条比对，根据比 对结果决定是否允许数据包通过。
图8-5 包过滤防火墙工作示意图
3． 包过滤防火墙的应用特点
包过滤防火墙是一种技术非常成熟、应用非 常广泛的防火墙技术，具有以下的主要特点：
8.1.4 防火墙的基本准则
1．所有未被允许的就是禁止的
所有未被允许的就是禁止的，这一准则是指
根据用户的安全管理策略，所有未被允许的通信 禁止通过防火墙。
2．所有未被禁止的就是允许的
所有未被禁止的就是允许的，这一准则是指
根据用户的安全管理策略，防火墙转发所有信息 流，允许所有的用户和站点对内部网络的访问， 然后网络管理员按照IP地址等参数对未授权的用 户或不信任的站点进行逐项屏蔽。
5． 分布式防火墙产品
虽然分布式防火墙技术的提出相对较晚， 但相应的产品非常丰富。目前，从总体来 看国外的一些著名网络设备制造商（如 3COM、Cisco、美国网络安全系统公司等） 在分布式防火墙技术方面更加先进，所提 供的产品性能也比较高。
8.4 个人防火墙技术
8.4.1 个人防火墙概述 1． 个人防火墙的产生动因 为保护单机用户接入互联网时的安全，
（1） 过滤规则表需要事先进行人工设置，规 则表中的条目根据用户的安全要求来定。
（2） 防火墙在进行检查时，首先从过滤规则 表中的第1个条目开始逐条进行，所以过滤规则表 中条目的先后顺序非常重要。
（3）由于包过滤防火墙工作在OSI参考模型 的网络层和传输层，所以包过滤防火墙对通过的 数据包的速度影响不大，实现成本较低。
8.3.4 分布式防火墙
1. 传统防火墙的不足 虽然本章前面介绍的几类传统防火仍
然是现代计算机网络安全防范的支柱，但 在安全要求较高的大型网络中存在一些不 足，主要表现如下：
（1） 结构性限制。 （2） 防外不防内。 （3） 效率问题。 （4） 故障问题。
2． 分布式防火墙的概念
（2） 与代理防火墙相比，状态检测防火墙 不需要中断直接参与通信的两台主机之间 的连接，对网络速度的影响较小。
（3） 状态检测防火墙具有新型的分布式防 火墙的特征。
（4）状态检测防火墙的不足主要表现为： 对防火墙CPU、内存等硬件要求较高、安全 性主要依赖于防火墙操作系统的安全性、 安全性不如代理防火墙。
8.2 防火墙的应用
8.2.1 防火墙在网络中的位置 防火墙多应用于一个局域网的出口处
（如图8-1（a）所示）或置于两个网络中间 （如图8-1（b）所示）。
图8-1 防火墙在网络中的位置
8.2.2 使用了防火墙后的网络组成

防火墙是构建可信赖网络域的安全
产品。如图8-2所示，当一个网络在加入了
图8-7 状态检测防火墙的工作示意图
4． 跟踪连接状态的方式
状态检测防火墙跟踪连接状态的方式取决于
所使用的传输层协议，下面进行简要的分析和介 绍。
（1） TCP数据包。
（2） UDP数据包。
5． 状态检测防火墙的应用特点
状态检测防火墙具有以下的主要特点：
（1） 与静态包过滤防火墙相比，采用 动态包过滤技术的状态检测防火墙通过对 数据包的跟踪检测技术，解决了静态包过 滤防火墙中某些应用需要使用动态端口时 存在的安全隐患，解决了静态包过滤防火 墙存在的一些缺陷。
第8章 防火墙技术及应用
《计算机网络安全技术》
8.1 防火墙技术概述
8.1.1 防火墙的概念

防火墙是指设置在不同网络（如可信
赖的企业内部局域网和不可信赖的公共网
络）之间或网络安全域之间的一系列部件
的组合，通过监测、限制、更改进入不同
网络或不同安全域的数据流，尽可能地对
外部屏蔽网络内部的信息、结构和运行状
8.3 防火墙的基本类型
8.3.1 包过滤防火墙 包过滤防火墙是最早使用的一种防火
墙技术，它在网络的进出口处对通过的数 据包进行检查，并根据已设置的安全策略 决定数据包是否允许通过。
1． 包过滤防火墙的工作原理
包过滤（Packet Filter）是在网络层中根据事
先设置的安全访问策略（过滤规则），检查每一 个数据包的源IP地址、目的IP地址以及IP分组头 部的其他各种标志信息（如协议、服务类型等）， 确定是否允许该数据包通过防火墙。
防火墙安全策略的制定建立在已知的安 全威胁上，所以防火墙能够防范已知的安全 威胁。
3． 防火墙不能防止感染了病毒的软件或文 件的传输
即使是最先进的数据包过滤技术在病毒 防范上也是不适用的，因为病毒的种类太多， 操作系统多种多样，而且目前的病毒编写技 术很容易将病毒隐藏在数据中。
4．防火墙不能防范内部用户的恶意破坏
8.3.2 代理防火墙
1． 代理防火墙的工作 原理
代理防火墙具有传 统的代理服务器和防火 墙的双重功能。如图86所示，代理服务器位 于客户机与服务器图8-6 代理防火墙的 Nhomakorabea作示意图
之间，完全阻挡了二者间的数据交流。从 客户机来看，代理服务器相当于一台真正 的服务器；而从服务器来看，代理服务器 仅是一台客户机。
防火墙检查的不仅仅是数据包中的头部信息，而 且会跟踪数据包的状态，即不同数据包之间的共 性。
3. 状态检测防火墙的工作过程
状态检测防火墙的工作过程如图8-7所示。在
状态检测防火墙中有一个状态检测表，它由规则 表和连接状态表两部分组成。状态检测防火墙的 工作过程是：首先利用规则表进行数据包的过滤， 此过程与静态包过滤防火墙基本相同。如果某一 个数据包（如“IP分组B1”）在进入防火墙时，规 则表拒绝它通过，则防火墙直接丢弃该数据包， 与该数据包相关的后续数据包（如“IP分组B2”、 “IP分组B3”等）同样会被拒绝通过。
防止个人计算机上信用卡、银行账号等私 有信息的被泄露和窃取，防止计算机病毒 及各种恶意程序对个人计算机的入侵和破 坏，个人防火墙产品应运而生。
2． 个人防火墙的概念
个人防火墙是一套安装在个人计算机上 的软件系统，它能够监视计算机的通信状 况，一旦发现有对计算机产生危险的通信 就会报警通知管理员或立即中断网络连接， 以此实现对个人计算机上重要数据的安全 保护。
2． 代理防火墙的应用特点
代理防火墙具有以下的主要特点：
（1） 代理防火墙可以针对应用层进行 检测和扫描，可有效地防止应用层的恶意 入侵和病毒。
（2） 代理防火墙具有较高的安全性。 由于每一个内外网络之间的连接都要通过 代理服务器的介入和转换，而且在代理防 火墙上会针对每一种网络应用（如HTTP） 使用特定的应用程序来处理。
2． 信赖主机和非信赖主机
位于信赖域中的主机因为具有较高的安 全性，所以称为信赖主机；而位于非信赖 域中的主机因为安全性较低，所以称为非 信赖主机。
3． DMZ
DMZ（Demilitarized zone）称为“隔离区” 或“非军事化区”，它是介于信赖域和非信赖 域之间的一个安全区域。
8.2.3 防火墙应用的局限性
1． 防火墙不能防范未通过自身的网络连接 对于有线网络来说，防火墙是进出网络
的唯一节点。但是如果使用无线网络（如 无线局域网），内部用户与外部网络之间 以及外部用户与内部网络之间的通信就会 绕过防火墙，这时防火墙就没有任何用处。
2． 防火墙不能防范全部的威胁
8.4.2 个人防火墙的主要功能
1． 防止Internet上用户的攻击 2． 阻断木马及其他恶意软件的攻击 3． 为移动计算机提供安全保护 4． 与其他安全产品进行集成
8.4.3 个人防火墙的主要技术
1． 基于应用层网关
典型的个人防火墙属于应用层网关类型， 应用层网关也称为代理。应用层网关随时 检测用户应用程序的执行情况，可以根据 需要对特定的应用拒绝或允许。
1． 静态包过滤的缺陷
由于静态包过滤技术要检查进入防火墙的每
一个数据包，所以在一定程序上影响了网络的通 信速度。另外，静态包过滤技术固定地根据包的 头部信息进行规则的匹配，这种方法在遇到利用 动态端口的应用协议时就会出现问题。
2． 状态检测技术及优势
状态检测技术即动态包过滤技术。状态检测
·防火墙本身是免疫的，即防火墙本身 具有较强的抗攻击能力。
8.1.2 防火墙的基本功能
1．监控并限制访问 2．控制协议和服务 3．保护内部网络 4．网络地址转换（NAT） 5．虚拟专用网（VPN） 6．日志记录与审计
8.1.3 防火墙的基本原理
所有的防火墙功能的实现都依赖于对 通过防火墙的数据包的相关信息进行检查， 而且检查的项目越多、层次越深，则防火 墙越安全。由于现在计算机网络结构采用 自顶向下的分层模型，而分层的主要依据 是各层的功能划分，不同层次功能的实现 又是通过相关的协议来实现的。所以，防 火墙检查的重点是网络协议及采用相关协 议封装的数据。
防火墙后，防火墙将成为不同安全域之间
的一个屏障，原来具有相同安全等级的主
机或区域将会因为防火墙的介入而发生变
化.
图8-2 使用防火墙后的网络组成
1． 信赖域和非信赖域