防火墻的原理及應用

　　防火墻的知識對于一些非專業的朋友來講是一些很難懂，看起來很復雜的東西，但其實等你真正的去了解之后才發現這些其實別不是那么難，現在就由小編簡單的為大家介紹一下防火墻的原理及應用。

　　防火墻的原理：

　　1、包過濾防火墻

　　包過濾是在網絡層中對數據包實施有選擇的通過，依據系統事先設定好的過濾邏輯，檢查數據據流中的每個數據包，根據數據包的原地址、目標地址、以及包所使用端口確定是否允許該類數據包通過。在互聯網這樣的信息包交換網絡上，所有往來的信息都被分割成許許多多一定長度的信息報，包中包括發送者的IP地址和接受者的IP地址。當這些包被送上互聯網時，路由器會讀取接受者的IP并選擇一條物理上的線路發送出去，信息包可能以不同的路線抵達目的地，當所有的包抵達后會在目的地重新組裝還原。包過濾式的防火墻會檢查所有通過信息包里的IP地址，并按照系統管理員所給定的過濾規則過濾信息包。如果防火墻設定某一IP為危險的話，從這個地址而來的所有信息都被會防火墻屏蔽掉。這種防火墻的用法很多，比如國家有關部門可以通過包過濾防火墻來禁止國家用戶去訪問那些違反我國有關規定或者“有問題”的國外站點，包過濾路由器的最優優點就是他對于用戶來說是透明的，也就是說不需要用戶名和密碼來登陸。這種防火墻速度快而且易于維護，通常作為第一道防線。包過濾路由器的弊端也是很明顯的，通常它沒有用戶的使用記錄，這樣我們就不能從訪問記錄中發現黑客的攻擊記錄，而攻擊一個單純的包過濾式的防火墻對于黑客來說是比較容易的，他們在這一方面已經積了大量的經驗。“信息包沖擊”是黑客比較常用的一種攻擊手段，黑客們對包過濾式防火墻發出一系列信息包，不過這些包中的IP地址已經被替換掉了，取而代之的是一串順序的IP地址。一旦有一個包通過了防火墻，黑客便可以用這個IP地址來偽裝他們發出的信息。在另一些情況下黑客們使用一種他們自己編織的路由器攻擊程序，這種程序使用路由器歇息來發送偽造的路由器信息，這樣所有的都會被重新路由到一個入侵者所指定的特別抵制。對付這種路由器的另一種技術被稱之為“同步淹沒”，這實際上是一種網絡炸彈。攻擊者向被攻擊的計算機發出許許多多個虛假的“同步請求”信號報，當服務器相應了這種信號報后會等待請求發出者的回答，而攻擊者不做任何的相應。如果服務器在45秒鐘里沒有收到反應信號的話就會取消掉這次的請求。但是當服務器在處理成千上萬各虛假請求時，它便沒有時間來處理正常的用戶請求，處于這種攻擊下的服務器和死鎖沒什么兩樣。此種防火墻的缺點是很明顯的，通常它沒有用戶的使用記錄，這樣我們就不能從訪問記錄中發現黑客的攻擊記錄。此外，配置繁瑣也是包過濾防火墻的一個缺點。它阻擋別人進入內部網絡，但也不告訴你何人進入你的系統，或者何人從內部進入網際網路。它可以組織外部對私有網絡的訪問，卻不能記錄內部的訪問。包過濾另一個關鍵的弱點就是不能再用戶級別上進行過濾，即不能鑒別不同的用戶和防止IP地址盜用。包過濾防火墻什么某種意義上的絕對安全的系統。

　　2、應用網關防火墻

　　應用網關防火墻檢查所有應用層的信息包，并將檢查的內容信息放入決策過程，從而提高網絡的安全性。然而，應用網關防火墻是通過打破客戶機/服務器模式實現的。每個客戶機/服務器通信需要兩個鏈接：一個是從客戶端到防火墻，另一個是從防火墻到服務器。另外，每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的應用必須添加對此應用的服務程序，否則不能使用該服務。所以，應用網關防火墻具有可伸縮性差的缺點。

　　3、狀態監測防火墻

　　狀態監測防火墻基本保持了簡單包過濾防火墻的優點，性能比較好，同時對應用是透明的，在此基礎上，對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數據包，不關心數據包狀態的缺點，在防火墻的核心部分建立狀態連接表，維護了連接，將進出網絡的數據當成一個個的事件來處理。可以和陽朔，狀態檢測包過濾防火墻規范了網絡層和傳輸層行為，而應用代理型防火墻則是規范了特定的應用協議上的行為。

　　4、復合型防火墻

　　復合型防火墻是指綜合了狀態檢測與透明代理的新一代的防火墻，進一步基于ASIC架構，把防病毒、內容過濾整合到防火墻里，其中還包裹、IDS功能，多單元融為一體，是一種新突破。常規的防火墻并不能防止隱蔽在網絡流量里的攻擊，在網絡界面對應用層掃描，把防病毒、內容過濾與防火墻結合起來，這體現了網絡與信息安全的新思路。它在網絡邊界實施OSI第七層的內容掃描，實現了實時在網絡邊緣部署病毒防護、內容過濾等應用層服務措施。

　　防火墻的典型應用：

　　1、防止網絡入侵

　　2、防止消息文件泄露

　　3、保護內網安全

　　4、檢查出入網絡的鏈接，保護一些端口

　　5、防止計算機接收到非法包