電腦防火牆基礎知識(一)

防火牆的五大功能

　　一般來說，防火牆具有以下幾種功能：

　　1．允許網絡管理員定義一個中心點來防止非法用戶進入內部網絡。

　　2．可以很方便地監視網絡的安全性，並報警。

　　3．可以作為部署NAT（Network Address Translation，網絡地址變換）的地點，利用NAT技術，將有限的IP地址動態或靜態地與內部的IP地址對應起來，用來緩解地址空間短缺的問題。

　　4．是審計和記錄Internet使用費用的一個最佳地點。網絡管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸位置，並能夠依據本機構的核算模式提供部門級的計費。

　　兩種防火牆技術的對比

　　包過濾防火牆

　　優點

　　價格較低

　　性能開銷小，處理速度較快

缺點

　　定義復雜，容易出現因配置不當帶來問題

　　允許數據包直接通過，容易造成數據驅動式攻擊的潛在危險 .

 

.

　　代理防火牆

　　內置了專門為了提高安全性而編制的Proxy應用程序，能夠透徹地理解相關服務的命令，對來往的數據包進行安全化處理

　　速度較慢，不太適用於高速網（ATM或千兆位以太網等）之間的應用

　　5．可以連接到一個單獨的網段上，從物理上和內部網段隔開，並在此部署WWW服務器和FTP服務器，將其作為向外部發布內部信息的地點。從技術角度來講，就是所謂的停火區（DMZ）。

　　防火牆的兩大分類

　　盡管防火牆的發展經過了上述的幾代，但是按照防火牆對內外來往數據的處理方法，大致可以將防火牆分為兩大體系：包過濾防火牆和代理防火牆（應用層網關防火牆）。前者以以色列的Checkpoint防火牆和Cisco公司的PIX防火牆為代表，後者以美國NAI公司的Gauntlet防火牆為代表。

　　1．包過濾防?

　　第一代：靜態包過濾

　　這種類型的防火牆根據定義好的過濾規則審查每個數據包，以便確定其是否與某一條包過濾規則匹配。過濾規則基於數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火牆要遵循的一條基本原則是“最小特權原則”，即明確允許那些管理員希望通過的數據包，禁止其他的數據包。

.

　　第一代：代理防火牆

　　代理防火牆也叫應用層網關（Application Gateway）防火牆。這種防火牆通過一種代理（Proxy）技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火牆處理後，就好像是源於防火牆外部網卡一樣，從而可以達到隱藏內部網結構的作用。這種類型的防火牆被網絡安全專家和媒體公認為是最安全的防火牆。它的核心技術就是代理服務器技術。 .

.