从技术上,可以把防火墙分为包过滤型、应用代理(网关防火墙)和状态监洲型防火墙三大类。
1.包过滤(Packet filtering)型
包过滩型防火墙工作在Os'网络今考模型的网络层和传输层.它根狱数据包头湘地址、11的地址、端口兮和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地,其余数据包则被从数据流中丢弃。
包过论方式是一种通用、廉价和有效的女全手段。之所以通用,是因为它不是针对各个具体的网络服务采取特殊的处理方式,适用于所有网络服务:之所以赚价,是因为人多数路由器都提供数据包过涟功能,所以这类防火墉多数是由路由器染成的:之所以有效,是因为它能很大Pi度上满足绝大多数企业安全要求。
在整个防火墙技术的发展过程中.包过滤技术出现了两种不同版本.分别为第一代静态包过涟和第二代动态包过滤。
第一代砂态包过滤类型防火墙几乎是与路由器同时产生的.它足报据定义好的过滤规则审查每个数据包,以便确定其足否与某一条包过滩规则匹配。过论规则4于数据包的报头信息进行制订。报头信息如图“一所示。
第二代动态包过逮类型防火坡采用动态设置包过池规4d9的方法.遥免了静态包过滤所产生的问脱.这种技术后来发展成为包状态监侧(Stateful Inspection)技术.采用这种技术的防火墙对通过其建立的姆一个连接都进行跟踪.井且报据需要可动态地在过涟规则中琳加或更新条目。
包过滋方式的优点是不用改动客户机和主机卜的应用程序,因为它工作在网络层和传输层,与应用层无关。但其弱点也是明显的:过涟到别的依据只是网络层和传愉层的有限信息,因而各种安全要求不可能充分满足:在许多过滩器中.过涟规则的数目是有限制的,A随朴规WIJ'k1C ,1的增加,性能会受到很大的形响:由于缺少上下文关联信息,不能有效地过滤如UDP.RPC(远程过程调用)一类的协议;另外,大多数过滤器中缺少审计和报普机制.其只能依据包头信息,而不能对用户身份进行毅证,很容易受到地址欺编型攻击:对安全粉理人员素质要求高,建立安全规则时.必须对协议本身及其在不同应用程序中的作用有较深入的理解。因此.过滩器通常是和应用网关配合使用.共同组成防火墙系统。
2.应用代理(Application Proxy)型
应川代理防火墙是工作在Os'的址高层,即应川层。J〔特点是完全限陇了网络通信流.通过对梅种应川服务编制专门的代理程序.实现监视和控制应用层通信流的作用。
在代理型防火墙技术的发展过程中,它也经历了两个不同的版本.即:第,t应用网关型代理防火端和第二代自适应代理防火堵.
第一代应用网关(Application Gateway)型防火墙是通过一种代理(Proxy)技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后,就好像是派于防火墙外部网P一样.从而可以达到险藏内部网络结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是址安全的防火墙。其核心技术就是代理服务器技术。
第二代白适应代理(Adaptive Proxy)型防火坡是近几年才得到广泛应川的一种新防火墙类狱 .其可以结合代理类型防火端的安全性和包过渡防火墙的高速度等优点,在毫不损失安全性的从础之上将代理型防火境的性能褪高10倍以上。组成这种类型防火墙的从本要素有两个:(1适应代理服务器(Adaptive Proxy Server)与动态包过涟X (Dynamic Packet Filter).
在自适应代理服务器与动态包过滤器之间存在着一个控制通通.在对防火坡进行配R时.用户仅仅将所需要的服务类型、安全级别等信息通过相应代理的管理界面进行设置就可以了。然后,自适应代理就可以报据用户的配叉信息.决定是使用代理服务从应用层代理请求还足从网络层转发包。如果是后者.其将动态地通知包过涟器埔减过滩规则.满足用户对速度和安个性的双R要求。
代理类型防火坡及突出的优点就是安全。由于它工作于且高层.所以它可以对网络中任何一层数据通信进行筛选保护,而不是像包过涟那样,只是对网络层的数据进行过滤。
另外代理型防火墙采取的是一种代理机制.它叮以为14一种应用胀务建立一个专门的代理,所以内外部网络之间的通信不是直接的,而都需先经过代理瓜务器审核.通过后再山代理服务器代为连接.根本没有给内、外部网络计算机任何直接会话的机会.从而遗免了入授者使川数据i动类型的攻击方式入浸内部网。
代理防火坡的址人缺点就是速度相对比较慢,当用户对内外部网络网关的吞吐皿要求比较商时.代理防火堵就会成为内外部网络之间的瓶烦。那是因为防火堵需要为不同的网络服务建立专门的代理服务,在自己的代理程序为内、外部网络用户建立连接时需要时间.所以给系统性能带来了一此负I创影响.似通常不会很明枝。
3.状态监测(Stateful Inspection )型
状态监测是比包过论吏为有效的安全控制方法,它是综合包过涟技术和应用代理技术而发展的防火墙技术,这种防火培技术通过一种被称为状态监视的模块.在不影响网络安全正常工作的前提下采用抽取相关数据的方法对网络通信的各个层次实行监渊.并根据各种过滩规则做出安全决策。
状态监侧技术不仅对拟个数据包的头部(包括协议、地址、端口、类型等)信息进行分析.同时还共有会话过论(Session Filtering)功能.在每个连接建立时.防火墙会为这个连接构造一个会话状态.里面包含了该连接数据包的所有信息,以后这个连接都从于这个状态信息进行.这种检洲的优点是能对姆个数据包的内容进行监视.一旦建立了一个会话状态.则此后的数据传翰都要以此会话状态作为依据.例如一个连接的数据包浑端口是8000.那么在以后的数据传翰过程中防火墙都会审核这个包的薄端口还是不是8000.古则这个数据包就被拦截。而It会话状态的保留是有时间限制的.在超时的范川内如果没有再进行数据传输.这个会话状态就会被丢弃。状态监视可以对数据包内容进行分析.从而摆脱了传统防火姗只对数据包头信息检洲的局限性.而且这种防火墉不必开放过多端口,进一步杜绝了可能因为开放端口过多而带来的安全隐患。
综合以上3类防火墙来讲.它们所拥有的特征各不相同,对比如下所述。
包过逮防火墙不检查数据区.不建立连接状态表,前后报文无关.应用层控制很弱。应用网关防火坡不检查IP, TCP报头.不建立连接状态表,网络层保护比较弱。状态检侧防火坡不检查数据区,建立连接状态表,前后报文相关,应用层控制很弱。
