防火墙简介及其工作原理

简介：

防火墙是由软件和硬件组成的系统，它处在安全的网络和不安全的网络之间（比如内网和外网之间），根据由系统管理员设置的规则，对数据流进行过滤。（你的个人电脑上的防火墙就是这样工作的，根据特定的规则过滤流量，可以自己查看）。

由于防火墙介于两个网络之间，因此从一个网络到另一个网络的所有数据都要经过防火墙。根据管理员制定的安全策略，防火墙对数据流的处理方式有三种：

允许数据流通过。
拒绝数据流通过，此时防火墙会提示发送者该数据流已被拒绝。
将数据流丢弃，此时防火墙不会对该数据流进行任何处理，也不会向发送者发送任何消息（这种做法就加长了网络扫描的时间）。

原理：

包过滤防火墙

包过滤防火墙又被分为静态包过滤防火墙和动态包过滤防火墙。

静态包过滤防火墙工作在OSI模型中的网络层，它通过对到达的数据包的IP头和传输字段内容进行检查，和已经制定的自组规则去匹配，然后确定是转发该数据包还是丢弃该数据包（比如说，该规则中说，禁止外来用户访问IP地址为192.130.23.4的用户，你就当该用户是一个该机构的机密人员，那么所有目的IP为192.130.23.4的数据包都会被丢弃或者拒绝）。

动态包过滤防火墙工作在OSI模型的传输层，也就是说，静态包过滤防火墙只有包的概念，他们分析的是一个一个数据包，而动态包过滤防火墙已经能够捕获到一条“连接”。那么动态包过滤防火墙就可以对发出的数据包做一个标记，对相同连接的进入的数据包允许通过。所以动态包过滤防火墙会对已建立的连接和规则表进行动态的维护。

应用代理防火墙：

由于包过滤技术无法提供完善的数据保护措施，比如一些特殊的报文攻击（SYN攻击），它们的TCP/IP头部信息都没有问题，可能攻击藏在数据载荷中，仅仅通过过滤的方法并不能消除危害，在此背景下，应用代理防火墙就诞生了。应用代理防火墙工作在服务端和客户端之间，实际上就是一台带有数据监测功能的代理服务器，但是它并不是单纯的在一台代理设备中嵌入包交换技术（如果真的只是这样，为什么不直接用包过滤防火墙呢，还要多此一举），而是采用了一种“应用协议分析”的新技术。“应用协议分析”技术工作在OSI模型的最高层——应用层上，那么它所看到的所有数据都是最终形式，和我们看到的是一样的，而不是带着地址端口的原始内容的数据包，所以它能够实现更高级的数据监测。“应用协议分析”模块便根据应用层协议处理这个数据，通过预置的处理规则（没错，又是规则，防火墙离不开规则）查询这个数据是否带有危害，由于这一层面对的已经不再是组合有限的报文协议，甚至可以识别类似于“GET / index.php ? id=1 ”的数据内容，所以防火墙不仅能根据数据层提供的信息判断数据，更能像管理员分析服务器日志那样“看”内容，辨危害，然后决定如何处理该数据包。

但是，事物总是具有两面性，代理型防火墙的结构特征偏偏正是它的最大缺点，由于它是基于代理技术的，通过防火墙的每个连接都必须建立在为之创建的代理程序进程上，而代理进程自身是要消耗一定时间的，更何况代理进程里还有一套复杂的协议分析机制在同时工作，于是数据在通过代理防火墙时就不可避免的发生数据迟滞现象。代理防火墙是以牺牲速度为代价换取了比包过滤防火墙更高的安全性能。在网络吞吐量不是很大的情况下，也许用户不会察觉到什么，但是到了数据交换频繁的时刻，代理防火墙就成了整个网络的瓶颈，而且一旦防火墙的硬件配置支撑不住高强度的数据流量而发生罢工，整个网络可能就会因此瘫痪了。所以，代理防火墙的普及范围还远远不及包过滤型防火墙。