防火墙的工作原理

8.2.2　防火墙的工作原理

不同技术类型的防火墙工作原理差异较大，下面通过四种应用较多的防火墙进行说明。

(1)包过滤防火墙

包过滤防火墙工作于网络体系结构的IP层，作用对象是IP数据包。众所周知，在TCP/IP网络中，数据都是被封装到不同的IP数据包中进行传输的。包过滤防火墙就是截获每个通过它的IP数据包，并进行安全检查，如果通过检查，就将该IP数据包正常转发出去，否则，阻止其通过，也就阻断了网络通讯。

TCP/IP体系结构中，IP包头的信息主要包含以下内容:

●IP源地址

●IP目的地址

●协议(表明该IP包是TCP、UDP或ICMP包)

●TCP或UDP的源端口

●TCP或UDP的目的端口

●ICMP信息类型

在互联网中，提供某些特定服务的服务器一般都使用相对固定的端口。因此，包过滤器只需控制端口，也就控制了服务。

包过滤就可以通过协议类型来控制特定协议，通过IP地址来控制特定的源和目的主机，通过控制源和目的端口来控制特定网络服务，通过源/目的来控制是入网信息还是出网信息，即控制信息方向。同时，还可以制定IP地址和端口的组合规则，使得这种安全检查更加细致。

IP包过滤能够有效地控制网络的通信，具有速度快，效率高，花费少，对用户透明，支持任何协议等优点，但它仍然存在着以下不足:

●允许外部客户机直接连接内部主机系统

●可能导致IP欺骗等基于源地址的网络攻击

●在复杂环境中，管理的复杂度迅速提高

●一般的包过滤的审计功能较弱

●不能提供用户认证

(2)应用级网关防火墙

应用级网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。然而，应用网关防火墙是通过打破B/S模式实现的。每个B/S通信需要两个连接:一个是从客户端到防火墙，另一个是从防火墙到服务器。另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。所以，应用级网关防火墙具有可伸缩性差的缺点。

(3)状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅检查进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用级网关防火墙则是规范了特定的应用协议上的行为。

(4)复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。它在网络边界实施OSI第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。

比较而言包过滤防火墙不检查数据区，不建立连接状态表，前后报文无关，应用层控制很弱;应用级网关防火墙不检查IP、TCP报头，不建立连接状态表，网络层保护比较弱;状态检测防火墙不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱;复合型防火墙可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。