防火墻一、防火墻的基本類型：1、包過濾防火墻。2、應(yīng)用網(wǎng)關(guān)防火墻。3、代理服務(wù)器防火墻。4、狀態(tài)檢測(cè)防火墻。1、包過濾防火墻通常直接轉(zhuǎn)發(fā)報(bào)文，它對(duì)用戶完全透明，速度較快。包過濾防火墻可以根據(jù)數(shù)據(jù)包中的各項(xiàng)信息來控制站點(diǎn)與站點(diǎn)、站點(diǎn)與網(wǎng)絡(luò)、網(wǎng)絡(luò)與網(wǎng)絡(luò)之間的相互訪問，但無法控制傳輸數(shù)據(jù)的內(nèi)容，因?yàn)閮?nèi)容是應(yīng)用層數(shù)據(jù)，而包過濾器處在傳輸層和網(wǎng)絡(luò)層。包過濾防火墻只管從哪里來，管不了來的是什么內(nèi)容。數(shù)據(jù)包過濾防火墻的缺點(diǎn)有二：一是非法訪問一旦突破防火墻，即可對(duì)主機(jī)上的軟件和配置漏洞進(jìn)行攻擊；二是數(shù)據(jù)包的源地址、目的地址以及IP的端口號(hào)都在數(shù)據(jù)包的頭部，很有可能被竊聽或假冒。2、狀態(tài)檢測(cè)防火墻。也叫自適應(yīng)防火墻，動(dòng)態(tài)包過濾防火墻。他具備包過濾防火墻的一切優(yōu)點(diǎn)，具備較好的DoS攻擊和DDoS攻擊防御能力，缺點(diǎn)是對(duì)應(yīng)用層數(shù)據(jù)進(jìn)行控制，不能記錄高層次日志。3、應(yīng)用網(wǎng)關(guān)防火墻。是在網(wǎng)絡(luò)應(yīng)用層上建立協(xié)議過濾和轉(zhuǎn)發(fā)功能。它針對(duì)特定的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議使用指定的數(shù)據(jù)過濾邏輯，并在過濾的同時(shí)，對(duì)數(shù)據(jù)包進(jìn)行必要的分析、登記和統(tǒng)計(jì)，形成報(bào)告。實(shí)際中的應(yīng)用網(wǎng)關(guān)通常安裝在專用工作站系統(tǒng)上。數(shù)據(jù)包過濾和應(yīng)用網(wǎng)關(guān)防火墻有一個(gè)共同的特點(diǎn)，就是它們僅僅依靠特定的邏輯判定是否允許數(shù)據(jù)包通過。一旦滿足邏輯，則防火墻內(nèi)外的計(jì)算機(jī)系統(tǒng)建立直接聯(lián)系，防火墻外部的用戶便有可能直接了解防火墻內(nèi)部的網(wǎng)絡(luò)結(jié)構(gòu)和運(yùn)行狀態(tài)，這有利于實(shí)施非法訪問和攻擊。應(yīng)用網(wǎng)關(guān)也采用了過濾的機(jī)制，因此存在讓Internet上的用戶了解內(nèi)部網(wǎng)絡(luò)的結(jié)構(gòu)和運(yùn)行狀態(tài)的可能。4、代理服務(wù)器防火墻。主要使用代理技術(shù)來阻斷內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的通信，達(dá)到隱蔽內(nèi)部網(wǎng)絡(luò)的目的。外部計(jì)算機(jī)的網(wǎng)絡(luò)鏈路只能到達(dá)代理服務(wù)器，從而起到了隔離防火墻內(nèi)外計(jì)算機(jī)系統(tǒng)的作用。此外，代理服務(wù)也對(duì)過往的數(shù)據(jù)包進(jìn)行分析、注冊(cè)登記，形成報(bào)告，同時(shí)當(dāng)發(fā)現(xiàn)被攻擊跡象時(shí)會(huì)向網(wǎng)絡(luò)管理員發(fā)出警報(bào)，并保留攻擊痕跡。防火墻能有效地防止外來的入侵，它在網(wǎng)絡(luò)系統(tǒng)中的作用是：控制進(jìn)出網(wǎng)絡(luò)的信息流向和信息包；提供使用和流量的日志和審計(jì)；隱藏內(nèi)部IP地址及網(wǎng)絡(luò)結(jié)構(gòu)的細(xì)節(jié)；另外防火墻引起或IE瀏覽器出現(xiàn)故障，也可導(dǎo)致可以正常連接，但不能打開網(wǎng)頁。缺點(diǎn)：工作效率低，對(duì)不同的應(yīng)用層的應(yīng)用層服務(wù)可能需要定制不同的應(yīng)用代理防火墻軟件，缺乏靈活性，不易擴(kuò)展。二、防火墻的性能及特點(diǎn)決定因素防火墻的性能及特點(diǎn)由以下兩方面決定：1、工作層次。工作層次高，安全性高，效率低；工作層次低，效率高，安全性低。2、采用的機(jī)制。采用代理機(jī)制，則防火墻具有內(nèi)部信息隱藏的特點(diǎn)，相對(duì)而言，安全性高，效率低；采用過濾機(jī)制，則效率高，安全性低些。三、防火墻的性能及特點(diǎn)決定因素防火墻實(shí)行默認(rèn)拒絕原則。四、防火墻基本組成防火墻主要包括5個(gè)部分：安全操作系統(tǒng)、過濾器、網(wǎng)關(guān)、域名服務(wù)和函件處理。五、防火墻網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)1、屏蔽路由器。就是包過濾防火墻。2、雙宿主機(jī)。3、主機(jī)過濾結(jié)構(gòu)。4、屏蔽子網(wǎng)結(jié)構(gòu)。目前使用較多。防火墻體系結(jié)構(gòu)屏蔽路由器圖1屏蔽路由器原理：作為內(nèi)外網(wǎng)連接的唯一通道，要求所有的報(bào)文都必須在此通過檢查。通過在分組過濾路由器上安裝基于IP層的報(bào)文過濾軟件，就可以利用過濾規(guī)則實(shí)現(xiàn)報(bào)文過濾功能。缺點(diǎn)：在單機(jī)上實(shí)現(xiàn)，是網(wǎng)絡(luò)中的“單失效點(diǎn)”；不支持有效的用戶認(rèn)證，不提供有用的日志，安全性低。雙宿主機(jī)原理：在被保護(hù)網(wǎng)絡(luò)和Internet之間設(shè)置一個(gè)具有雙網(wǎng)卡的堡壘主機(jī)，IP層的通信完全被阻止，兩個(gè)網(wǎng)絡(luò)之間的通信可以通過應(yīng)用層數(shù)據(jù)共享或應(yīng)用層代理服務(wù)來完成。通常采用代理服務(wù)的方法，堡壘主機(jī)上運(yùn)行著防火墻軟件，可以轉(zhuǎn)發(fā)應(yīng)用程序和提供服務(wù)。圖2雙宿主機(jī)優(yōu)點(diǎn)：堡壘主機(jī)的系統(tǒng)軟件可用于身份認(rèn)證和維護(hù)系統(tǒng)日志，有利于進(jìn)行安全審計(jì)；缺點(diǎn)：該方式的防火墻仍然是網(wǎng)絡(luò)的“單失效點(diǎn)”；隔離了一切內(nèi)部網(wǎng)與Internet的直接連接，不適合于一些高靈活性要求的場(chǎng)合。主機(jī)過濾機(jī)構(gòu)原理：一個(gè)分組過濾路由器連接外部網(wǎng)絡(luò)，同時(shí)一個(gè)運(yùn)行網(wǎng)關(guān)軟件的堡壘主機(jī)安裝在內(nèi)部網(wǎng)絡(luò)。通常在路由器上設(shè)立過濾規(guī)則，使這個(gè)堡壘主機(jī)成為從外部唯一可直接到達(dá)的主機(jī)。優(yōu)點(diǎn)：提供了安全等級(jí)較高，因?yàn)樗鼘?shí)現(xiàn)了網(wǎng)絡(luò)層安全（包過濾）和應(yīng)用層安全（代理服務(wù)）。圖3主機(jī)過濾結(jié)構(gòu)缺點(diǎn)：過濾路由器是否正確配置是這種防火墻安全與否的關(guān)鍵。過濾路由器的路由表應(yīng)當(dāng)受到嚴(yán)格的保護(hù)，如果路由表遭到破壞，則堡壘主機(jī)就有被越過的危險(xiǎn)。屏蔽子網(wǎng)原理：最安全的防火墻系統(tǒng)，它在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間建立一個(gè)被隔離的子網(wǎng)，稱為非軍事區(qū)，即DMZ（DemilitarizedZone）。在很多實(shí)現(xiàn)中，兩個(gè)分組過濾路由器放在子網(wǎng)的兩端，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)均可訪問被屏蔽子網(wǎng)，但禁