防火墙技术现状与展望

1.2防火墙的设计原理

(1)数据包过滤，包过滤是在网络层根据访问控制表(Access Control Table)(如端口to+目的地址、accept from+源地址、端口+采取的动作、NAT地址转换、deny拒绝等等)进行包选择的，它可以用路由器完成。它是根据包的源端口、目的端口、源IP地址、目的IP地址、封装协议类型(TCP、UDP、ICMP等)、ICMP报文类型等报头信息(如图2、图3)来判断是否允许包通过和过滤用户定义的内容，如IP地址。

如果数据包满足该过滤规则，则允许通过，否则将此数据包所要到达的网络物理上被断开，起到了保护内部网络的作用。防火墙系统在网络层检查数据包，与应用层无关，包过滤器的应用非常广泛，因为CPU用来处理包过滤的时间可以忽略不计。数据包过滤防火墙优点：逻辑简单，网络性能好便于路由器安装;处理包速度比代理服务器快;实现包过滤比较经济，因为这些特点都包含在标准的路由器软件上;透明性好，不必对用户进行特殊的培训和安装特定的软件。缺点：数据包的源地址、目的地址以及IP端口号都在报头容易被假冒和窃听;因为定义数据包过滤器比较复杂，因而维护比较困难;随着过滤器数目的增加，路由器的吞吐量会下降。

(2)应用层代理，应用层代理防火墙(如图4)不允许网络直连，通常分为透明代理(Transparent Proxy)、传统代理(Traditional Proxy)。它是接收来自内部网络特定用户应用程序的通信，然后建立于公共网络服务器的单独连接。网络内部的用户不直接与外部的服务器通信，所以服务器不能直接访问内部网的任何一部分。因此无论内网主机还是外网主机都意识不到它们其实是在和防火墙通信。透明代理与传统代理工作原理相似，不同的是传统代理需要在客户端设置代理服务器。一般常见的应用程序有HTTP、SMTP、IRC、NET、FTP、NNTP、IMAP。应用层代理的优点：有强大的日志记录功能，能审查完整的网络数据;应用防火墙可以直接验证用户身份控制远程登录命令。缺点：每个协议都需要单独的代理程序，因此它对新的网络程序或网络协议的支持很有局限性;在对包解析会耗费大量CPU资源，因此会形成网络性能障碍。

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友