把防火墙的知识总结一下

qyelite

先是防火墙的功能：
1．  容许网络管理员定义一个中心点来防止非法用户进入网络内部。
2．  可以很方便地监视网络的安全性，并报警。
3．  可以作为部署NET(network address translation ,网络地址变换)的地点。利用NAT技术，将有限的ip地址动态或静态地与内部的ip地址对应起来。解决地址空间短缺问题。

今天把防火墙的知识总结一下：
首先是防火墙的功能：
1．  容许网络管理员定义一个中心点来防止非法用户进入网络内部。
2．  可以很方便地监视网络的安全性，并报警。
3．  可以作为部署NET(network address translation ,网络地址变换)的地点。利用NAT技术，将有限的ip地址动态或静态地与内部的ip地址对应起来。解决地址空间短缺问题。
4．  审记和记录上网费用的一个最佳地点。
5．  可以连接到一个单独的网段上，从物理上和内部网断开，并在此部署WWW服务器和FTP服务器，将其做为向外部发布内部信息的地点。从技术角度来讲，就是所谓的停火区（DMZ）。
其次是防火墙的分类：
              防火墙按照对内外来往数据的处理方法，大致可以将防火墙分为两大体系：包过虑防火墙和代理防火墙（应用层网关防火墙）。前者以以色列的checkpoint防火墙和cisco公司的PIX防火墙为代表。后者以美国NAI公司的gauntle防火墙为代表。就这两大类了。
              我们先来大体分析一下他们的优缺点，然后详细说一下他们的细节。
1．  包过滤防火墙：
优点：价格低，性能开销小，处理速度教快。
缺点：定义复杂，容易出现因配置不当带来问题。容许数据包直接通过，容易造成数据驱动式攻击的潜在危险。
2．  代理防火墙：
内置了专门为了提高安全性而编制的proxy应用程序，能够透彻地理解相关服务的命令，对来往的数据包进行安全化处理。速度较慢，不太适用于高速网(ATM或千兆位以太网等)之间的应用。




下面详细说一下：
              包过滤防火墙：
                     第一代：静态包过滤：


                            这种类型的防火墙根据定义好的过滤规则审查每个数据包，以便确定其是否与某一条包过滤规则匹配。过滤规则基于数据包的报头信息进行制订。报头信息中包括IP源地址、IP目标地址、传输协议(TCP、UDP、ICMP等等)、TCP/UDP目标端口、ICMP消息类型等。包过滤类型的防火墙要遵循的一条基本原则是“最小特权原则”，即明确允许那些管理员希望通过的数据包，禁止其他的数据包。

                            第二代：动态包过滤：



                                     这种类型的防火墙采用动态设置包过滤规则的方法，避免了静态包过滤所具有的问题。这种技术后来发展成为所谓包状态监测（Stateful Inspection）技术。采用这种技术的防火墙对通过其建立的每一个连接都进行跟踪

              代理防火墙：

                     第一代：代理防火墙：

                            代理防火墙也叫应用层网关(application gateway)防火墙.这种防火墙通过一种代理（proxy）技术参与到一个tcp连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好象是源于防火墙外部网卡一样。从而可以达到隐藏内部结构的作用。这种类型的防火墙被网络安全专家和媒体公认为是最安全的防火墙。它的核心技术就是代理服务器技术。



              所谓代理服务器，是指代表客户处理在服务器连接请求的程序。当代理服务器得到一个客户的连接意图时，它们将核实客户请求，并经过特定的安全化的Proxy应用程序处理连接请求，将处理后的请求传递到真实的服务器上，然后接受服务器应答，并做进一步处理后，将答复交给发出请求的最终客户。代理服务器在外部网络向内部网络申请服务时发挥了中间转接的作用。

              代理类型防火墙的最突出的优点就是安全。由于每一个内外网络之间的连接都要通过Proxy的介入和转换，通过专门为特定的服务如Http编写的安全化的应用程序进行处理，然后由防火墙本身提交请求和应答，没有给内外网络的计算机以任何直接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞的。就像你要向一个陌生的重要人物递交一份声明一样，如果你先将这份声明交给你的律师，然后律师就会审查你的声明，确认没有什么负面的影响后才由他交给那个陌生人。在此期间，陌生人对你的存在一无所知，如果要对你进行侵犯，他面对的将是你的律师，而你的律师当然比你更加清楚该如何对付这种人。



                           



代理防火墙的最大缺点就是速度相对比较慢，当用户对内外网络网关的吞吐量要求比较高时，（比如要求达到75-100Mbps时）代理防火墙就会成为内外网络之间的瓶颈。所幸的是，目前用户接入Internet的速度一般都远低于这个数字。在现实环境中，要考虑使用包过滤类型防火墙来满足速度要求的情况，大部分是高速网（ATM或千兆位以太网等）之间的防火墙。



第二代：自适应代理防火墙；

              自适应代理技术(Adaptive proxy)是最近在商业应用防火墙中实现的一种革命性的技术。它可以结合代理类型防火墙的安全性和包过滤防火墙的高速度等优点，在毫不损失安全性的基础之上将代理型防火墙的性能提高10倍以上。组成这种类型防火墙的基本要素有两个：自适应代理服务器 (adaptive proxy server )与动态包过滤器(dynamic packet filter).



                           





在自适应代理与动态包过滤器之间存在一个控制通道。在对防火墙进行配置时。用户仅仅将所需要的服务类型、安全级别等信息通过相应proxy的管理界面进行设置就可以了。然后，自适应代理就可以根据用户的配置信息，决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤规则，满足用户对速度和安全性的双从要求。



到这里防火墙的知识就总结完了，下面还附带一些资料 ：



防火墙发展史：

       第一代防火墙

              第一代防火墙技术几乎与路由器同时出现，采用了包过滤(packet filter )技术。下图表示了防火墙技术的简单发展使。

              



第二、三代防火墙

              1989年，贝尔实验室的dave presotto 和howard 推出了第二代防火墙，即电路层防火墙,同时提出了第三代防火墙----应用层防火墙的初步结构。



第四代防火墙

              1992年，usc信息科学院的bobbraden开发出了基于动态包过滤dynamic packet filter 技术的第四代防火墙，后来演变为目前所说的状态监视(Stateful inspection )技术。1994年，以色列的chengpoing公司开发出了第一个采用这种技术的商业话产品。



第五代防火墙

              1998年，NAI公司推出了一种自适应代理(adaptive proxy )技术，并在其产品gauntlet Firewall for nt 中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。



完。


本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/32340/showart_251434.html