防火墙的核心技术

第一篇：防火墙的核心技术无论防火墙在网络中如何部署，也无论防火墙性能差异如何巨大，纵观防火墙发展的历史，其核心技术都经历了包过滤、应用代理和状态监测三个阶段。不同厂商的核心技术在其基础上进行改革，正是这些改革，导致了防火墙产品在健壮性、可靠性、性能，甚至价格方面的巨大差异。简单包过滤防火墙简单包过滤技术对网络层和传输层协议进行保护，对进出网络的单个包进行检查，具有性能较好和对应用透明的优点，目前绝大多数路由器都提供这种功能。但是，由于它不能跟踪TCP状态，所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时，一些以TCP应答包的形式从外部对内网进行的攻击仍可以穿透防火墙。因此，它是一种淘汰技术，从1999年开始，主流防火墙产品中已经很少使用该技术。据悉，美国国防部已经明令禁止在其国防网内使用这种产品。遗憾的是，我国还有大量的防火墙采用这种技术。笔者建议，在一些重要领域和行业，不要使用这种体系架构的防火墙。应用代理防火墙应用代理防火墙也可称之为应用网关防火墙。应用代理的原理是彻底隔断通信两端的直接通信，所有通信都必须经应用层代理层转发，访问者任何时候都不能与服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略要求。断掉所有的连接，由防火墙重新建立连接，可以使应用代理防火墙具有极高的安全性。但是，这种高安全性是以牺牲性能和对应用的透明性为代价的。它不能支持大规模的并发连接，在对速度敏感的行业使用这类防火墙时简直是灾难。另外，防火墙核心要求预先内置一些已知应用程序的代理，使得一些新出现的应用在代理防火墙内被无情地阻断，不能很好地支持新应用。在IT领域中，新应用、新技术、新协议层出不穷，代理防火墙很难适应这种局面。因此，在一些重要的领域和行业的核心业务应用中，代理防火墙正被逐渐疏远。但是，自适应代理技术的出现让应用代理防火墙技术出现了新的转机，它结合了代理防火墙的安全性和包过滤防火墙的高速度等优点，在不损失安全性的基础上将代理防火墙的性能提高了10倍。目前，应用代理防火墙依然有很大的市场空间，仍然是主流的防火墙之一。尤其在那些应用比较单一（如仅仅访问www站点等）、对性能要求不高的中小企业内部网中，具有实用价值。状态监测防火墙CheckPoint公司推出的新一代防火墙核心架构——状态监测防火墙，目前已经成为防火墙的标准。这种防火墙在包过滤防火墙的架构之上进行了改进，它摒弃了包过滤防火墙仅考查进出网络的数据包，而不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，并将进出网络的数据当成一个个的会话，利用状态表跟踪每一个会话状态。状态监测对每一个包的检查不仅根据规则表，更考虑了数据包是否符合会话所处的状态，因此提供了完整的对传输层的控制能力。状态监测技术还采用了一系列优化技术，使防火墙性能大幅度提升，能应用在各类网络环境中，尤其是在一些规则复杂的大型网络上。因此，它是目前最流行的防火墙技术。目前，业界很多优秀的防火墙产品都采用了状态监测体系结构，如Cisco的PIX防火墙、NetScreen防火墙等。从2000年开始，国内的许多防火墙公司，如东软、天融信等公司，都开始采用这一最新的体系架构。------------摘自《计算机世界》2002/10/7网络通信如何鉴别防火墙功能差异有一些问题常令用户困惑：在产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似。面对这种情况，该如何鉴别？描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异地十分明显。一、网络层的访问控制所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。1．规则编辑对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察：对网络层的访问控制是否可以通过规则表现出来？访问控制的粒度是否足够细？同样一条规则，是否提供了不同时间段的控制手段？规则配置是否提供了友善的界面？是否可以很容易地体现网管的安全意志？2．IP/MAC地址绑定同样是IP/MAC地址绑定功能，有一些细节必须考察，如防火墙能否实现IP地址和MAC地址的自动搜集？对违反了IP/MAC地址绑定规则的访问是否提供相应的报警机制？因为这些功能非常实用，如果防火墙不能提供IP地址和MAC地址的自动搜集，网管可能被迫采取其他的手段获得所管辖用户的IP与MAC地址，这将是一件非常乏味的工作。3、NAT（网络地址转换）这一原本路由器具备的功能已逐渐演变成防火墙的标准功能之一。但对此一项功能，各厂家实现的差异非常大，许多厂家实现NAT功能存在很大的问题：难于配置和使用，这将会给网管员带来巨大的麻烦。我们必须学习NAT的工作原理，提高自身的网络知识水平，通过分析比