1. 防火墙概念

防火墙是位于两个或多个网络之间，实施网间访问控制策略的一组组件，如图5-1所示。

设立防火墙的目的是为了保护内部网络不受来自外部网络的攻击，从而创建一个相对安全的内网环境。

在网络系统中，防火墙是一个由软件系统和硬件设备组合而成，在内部网和外部网之间、专用网与公共网之间构造的保护屏障；

使Internet与Intranet之间建立一个安全网关（Security Gateway），从而保护内部网免受非法用户入侵，简单部署如图5-2所示。

防火墙主要由服务访问规则、验证工具、包过滤和应用网关四部分组成。理想的防火墙应该满足以下条件：

①内部和外部之间的所有网络数据流必须经过防火墙；

②只有符合安全策略的数据流才能通过防火墙；

③防火墙自身应具有非常强的抗攻击免疫力。

防火墙一般采用四种控制技术来达到保护内部网络的目的：

①服务控制，控制可以访问Internet 服务类型，包括向内和向外；

②方向控制，控制一项特殊服务所要求的方向；

③用户控制，控制访问服务的人员；

④行为控制，控制服务的使用方式，如e-mail过滤等。

防火墙的功能

一般而言，一个单位的内部网络组成结构复杂，各节点通常自主管理，但机构有整体的安全需求和显著的内外区别。

通过部署和使用防火墙，不但可以贯彻执行单位的整体安全策略防止外部攻击，还可有效地隔离不同网络，限制安全问题扩散，也可有效地记录和审核Internet上的活动。

防火墙好像大门上的锁，主要职能是保护内部网络的安全。

由于防火墙处于内部网络和外部网络之间这个特殊位置，因此防火墙上还可以添加一些其它功能，主要包括：通过防火墙将内部私有地址转换为全球公共地址；对一个特定用户的身份进行校验，判断是否合法；对通过防火墙的信息进行监控；支持VPN功能等。

防火墙的局限性

防火墙不能对内部威胁提供防护支持，也不能对绕过防火墙的攻击提供保护。

受性能限制，防火墙不能有效地防范数据内容驱动式攻击，对病毒传输的保护能力也比较弱。

为了提高安全性，防火墙系统限制或关闭了一些有用但存在安全缺陷的网络服务，从而给用户造成了使用的不便，这可能带来传输延迟、性能瓶颈及单点失效。

另外，作为一种被动的防护手段，防火墙不能自动防范因特网上不断出现的新的威胁和攻击。

防火墙的发展

第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。

1989年，贝尔实验室Dave Presotto和Howard Trickey推出了第二代防火墙即电路层防火墙、第三代防火墙应用层防火墙的初步结构。

1992年，USC信息科学院BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为状态检测（Stateful inspection）技术。

1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，给代理类型防火墙赋予了全新的意义，称之为第五代防火墙。

随着万兆UTM（Unified Threat Management，统一威助管理）的出现，UTM代替防火墙的趋势不可避免。

在国际上，Juniper公司高性能UTM占据了一定的市场份额；国内，H3C、启明星辰高性能UTM则一直领跑国内市场。

2. 防火墙的主要技术

1) 包过滤技术

包过滤（Packet Filtering）技术是防火墙在网络层根据IP数据包中包头信息有选择地实施允许通过或阻断。

包过滤防火墙对流经该设备的IP数据包地址信息、协议类型、路由信息、流向等首部信息，按照事先设定的过滤规则来决定是否允许该数据包通过，判断依据（如图5-3所示）：

①源、目的IP地址和源、目的端口；

②数据包协议类型，如TCP、UDP、ICMP、IGMP等；

③IP路由选项；

④TCP标志位选项，如SYN、ACK、FIN、RST等；

⑤数据包流向或流经的网络接口，如in或out等。以允许合乎规则的数据包通过防火墙进入到内部或外部网络，而将不合乎规则的数据包加以丢弃，如图5-4所示。包过滤技术核心是安全策略即过滤规则的设计。