防火墙技术概述

防火墙是一套可以增强机构内部网络资源的安全系统，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙只允许授权的数据通过，并且防火墙自身也必须能够免于渗透。但是，防火墙一旦被攻击者突破或者迂回，就不会再有任何的保护效果了。

按照实体性质分类，防火墙可分为硬件方式和软件方式，其中硬件方式是在内部网与Internet之间放置一个硬件设备，以隔离或过滤外部人员对内部网络的访问；而软件方式则是在Web主机上或单独一台计算机上运行一类软件，监测、侦听来自网络上的信息，对访问内部网的数据起到过滤的作用，从而保护内部网免受破坏。

对于防火墙来说，从其原理上进行划分，可将防火墙分为：

1. 包过滤型防火墙

数据包过滤技术是在网络层对数据包进行分析、选择，选择的依据是系统内设置的过滤逻辑，称为访问控制表。通过检查数据流中每一个数据包的源地址、目的地址、所用端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。如果检查数据包所有的条件都符合规则，则允许进行路由；如果检查到数据包的条件不符合规则，则阻止通过并将其丢弃。

数据包检查是对IP层的首部和传输层的首部进行过滤，一般要检查下面几项：源IP地址、目的IP地址、TCP/UDP源端口、TCP/UDP目的端口、协议类型（TCP包、UDP包、ICMP包）、TCP报头中的ACK位、ICMP消息类型。

2. 应用层代理防火墙

应用层代理防火墙技术可以在网络的应用层实现协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、记录和统计，形成报告。这种防火墙能很容易运用适当的策略区分一些应用程序命令，像HTTP中的“put”和“get”等。应用层代理防火墙打破了传统的客户机/服务器模式，每个客户机/服务器的通信需要两个连接：一个是从客户端到防火墙；另一个是从防火墙到服务器。这样就将内部和外部系统隔离开来，从系统外部对防火墙内部系统进行探测将变得非常困难。

3. 状态检测防火墙

状态检测防火墙和包过滤型防火墙一样是在IP层实现的，它是基于操作系统内核中的状态表的内容转发或拒绝数据包的传送，比静态的数据包过滤型防火墙有着更好的网络性能和安全性。静态包过滤型防火墙使用的过滤规则集是静态的，而采用状态检测技术的防火墙在运行过程中一直维护着一张动态状态表，这张表记录着TCP连接的建立到终止的整个过程中进行安全决策所需的状态相关信息，这些信息将作为评价后续连接安全性的依据。

4. 自适应代理防火墙

自适应代理防火墙的基本安全检测在安全应用层进行，但一旦通过安全检测，后续包则将直接通过网络层，因此自适应代理防火墙比应用层代理防火墙具有更高的效率。