網絡的安全性成為當今最熱門的話題之一，很多企業為了保障自身服務器或數據安全都采用了防火墻。隨著科技的發展，防火墻也逐漸被大眾所接受。但是，由于防火墻是屬于高科技產物，許多的人對此還并不是了解的十分透徹。而這篇文章就是給大家講述了防火墻工作的方式，以及防火墻的基本分類，并且討論了每一種防火墻的優缺點。

一、防火墻的基本分類

1．包過濾防火墻

第一代防火墻和最基本形式防火墻檢查每一個通過的網絡包，或者丟棄，或者放行，取決于所建立的一套規則。這稱為包過濾防火墻。

本質上，包過濾防火墻是多址的，表明它有兩個或兩個以上網絡適配器或接口。例如，作為防火墻的設備可能有兩塊網卡(NIC)，一塊連到內部網絡，一塊連到公共的Internet。防火墻的任務，就是作為“通信警察”，指引包和截住那些有危害的包。

包過濾防火墻檢查每一個傳入包，查看包中可用的基本信息（源地址和目的地址、端口號、協議等）。然后，將這些信息與設立的規則相比較。如果已經設立了阻斷telnet連接，而包的目的端口是23的話，那么該包就會被丟棄。如果允許傳入Web連接，而目的端口為80，則包就會被放行。

多個復雜規則的組合也是可行的。如果允許Web連接，但只針對特定的服務器，目的端口和目的地址二者必須與規則相匹配，才可以讓該包通過。

最后，可以確定當一個包到達時，如果對該包沒有規則被定義，接下來將會發生什么事情了。通常，為了安全起見，與傳入規則不匹配的包就被丟棄了。如果有理由讓該包通過，就要建立規則來處理它。

建立包過濾防火墻規則的例子如下：

對來自專用網絡的包，只允許來自內部地址的包通過，因為其他包包含不正確的包頭部信息。這條規則可以防止網絡內部的任何人通過欺騙性的源地址發起攻擊。而且，如果黑客對專用網絡內部的機器具有了不知從何得來的訪問權，這種過濾方式可以阻止黑客從網絡內部發起攻擊。

在公共網絡，只允許目的地址為80端口的包通過。這條規則只允許傳入的連接為Web連接。這條規則也允許與Web連接使用相同端口的連接，所以它并不是十分安全。

丟棄從公共網絡傳入的包，而這些包都有你的網絡內的源地址，從而減少IP欺騙性的攻擊。

丟棄包含源路由信息的包，以減少源路由攻擊。要記住，在源路由攻擊中，傳入的包包含路由信息，它覆蓋了包通過網絡應采取得正常路由，可能會繞過已有的安全程序。通過忽略源路由信息，防火墻可以減少這種方式的攻擊。

2．狀態/動態檢測防火墻

狀態/動態檢測防火墻，試圖跟蹤通過防火墻的網絡連接和包，這樣防火墻就可以使用一組附加的標準，以確定是否允許和拒絕通信。它是在使用了基本包過濾防火墻的通信上應用一些技術來做到這點的。

當包過濾防火墻見到一個網絡包，包是孤立存在的。它沒有防火墻所關心的歷史或未來。允許和拒絕包的決定完全取決于包自身所包含的信息，如源地址、目的地址、端口號等。包中沒有包含任何描述它在信息流中的位置的信息，則該包被認為是無狀態的；它僅是存在而已。

一個有狀態包檢查防火墻跟蹤的不僅是包中包含的信息。為了跟蹤包的狀態，防火墻還記錄有用的信息以幫助識別包，例如已有的網絡連接、數據的傳出請求等。

例如，如果傳入的包包含視頻數據流，而防火墻可能已經記錄了有關信息，是關于位于特定IP地址的應用程序最近向發出包的源地址請求視頻信號的信息。如果傳入的包是要傳給發出請求的相同系統，防火墻進行匹配，包就可以被允許通過。

一個狀態/動態檢測防火墻可截斷所有傳入的通信，而允許所有傳出的通信。因為防火墻跟蹤內部出去的請求，所有按要求傳入的數據被允許通過，直到連接被關閉為止。只有未被請求的傳入通信被截斷。

如果在防火墻內正運行一臺服務器，配置就會變得稍微復雜一些，但狀態包檢查是很有力和適應性的技術。例如，可以將防火墻配置成只允許從特定端口進入的通信，只可傳到特定服務器。如果正在運行Web服務器，防火墻只將80端口傳入的通信發到指定的Web服務器。

狀態/動態檢測防火墻可提供的其他一些額外的服務有：

將某些類型的連接重定向到審核服務中去。例如，到專用Web服務器的連接，在Web服務器連接被允許之前，可能被發到SecutID服務器（用一次性口令來使用）。

拒絕攜帶某些數據的網絡通信，如帶有附加可執行程序的傳入電子消息，或包含ActiveX程序的Web頁面。

跟蹤連接狀態的方式取決于包通過防火墻的類型：

TCP包。當建立起一個TCP連接時，通過的第一個包被標有包的SYN標志。通常情況下，防火墻丟棄所有外部的連接企圖，除非已經建立起某條特定規則來處理它們。對內部的連接試圖連到外部主機，防火墻注明連接包，允許響應及隨后再兩個系統之間的包，直到連接結束為止。在這種方式下，傳入的包只有在它是響應一個已建立的連接時，才會被允許通過。

UDP包。UDP包比TCP包簡單，因為它們不包含任何連接或序列信息。它們只包含源地址、目的地址、校驗和攜帶的數據。這種信息的缺乏使得防火墻確定包的合法性很困難，因為沒有打開的連接可利用，以測試傳入的包是否應被允許通過。可是，如果防火墻跟蹤包的狀態，就可以確定。對傳入的包，若它所使用的地址和UDP包攜帶的協議與傳出的連接請求匹配，該包就被允許通過。和TCP包一樣，沒有傳入的UDP包會被允許通過，除非它是響應傳出的請求或已經建立了指定的規則來處理它。對其他種類的包，情況和UDP包類似。防火墻仔細地跟蹤傳出的請求，記錄下所使用的地址、協議和包的類型，然后對照保存過的信息核對傳入的包，以確保這些包是被請求的。

3．應用程序代理防火墻

應用程序代理防火墻實際上并不允許在它連接的網絡之間直接通信。相反，它是接受來自內部網絡特定用戶應用程序的通信，然后建立于公共網絡服務器單獨的連接。網絡內部的用戶不直接與外部的服務器通信，所以服務器不能直接訪問內部網的任何一部分。

另外，如果不為特定的應用程序安裝代理程序代碼，這種服務是不會被支持的，不能建立任何連接。這種建立方式拒絕任何沒有明確配置的連接，從而提供了額外的安全性和控制性。

例如，一個用戶的Web瀏覽器可能在80端口，但也經常可能是在1080端口，連接到了內部網絡的HTTP代理防火墻。防火墻然后會接受這個連接請求，并把它轉到所請求的Web服務器。

這種連接和轉移對該用戶來說是透明的，因為它完全是由代理防火墻自動處理的。

代理防火墻通常支持的一些常見的應用程序有：

HTTP、HTTPS/SSL、SMTP、POP3、IMAP、NNTP、TELNET、FTP、IRC

應用程序代理防火墻可以配置成允許來自內部網絡的任何連接，它也可以配置成要求用戶認證后才建立連接。要求認證的方式由只為已知的用戶建立連接的這種限制，為安全性提供了額外的保證。如果網絡受到危害，這個特征使得從內部發動攻擊的可能性大大減少。

4．NAT

討論到防火墻的主題，就一定要提到有一種路由器，盡管從技術上講它根本不是防火墻。網絡地址轉換(NAT)協議將內部網絡的多個IP地址轉換到一個公共地址發到Internet上。

NAT經常用于小型辦公室、家庭等網絡，多個用戶分享單一的IP地址，并為Internet連接提供一些安全機制。

當內部用戶與一個公共主機通信時，NAT追蹤是哪一個用戶作的請求，修改傳出的包，這樣包就像是來自單一的公共IP地址，然后再打開連接。一旦建立了連接，在內部計算機和Web站點之間來回流動的通信就都是透明的了。

當從公共網絡傳來一個未經請求的傳入連接時，NAT有一套規則來決定如何處理它。如果沒有事先定義好的規則，NAT只是簡單的丟棄所有未經請求的傳入連接，就像包過濾防火墻所做的那樣。

可是，就像對包過濾防火墻一樣，你可以將NAT配置為接受某些特定端口傳來的傳入連接，并將它們送到一個特定的主機地址。

5．個人防火墻

現在網絡上流傳著很多的個人防火墻軟件，它是應用程序級的。個人防火墻是一種能夠保護個人計算機系統安全的軟件，它可以直接在用戶的計算機上運行，使用與狀態/動態檢測防火墻相同的方式，保護一臺計算機免受攻擊。通常，這些防火墻是安裝在計算機網絡接口的較低級別上，使得它們可以監視傳入傳出網卡的所有網絡通信。

一旦安裝上個人防火墻，就可以把它設置成“學習模式”，這樣的話，對遇到的每一種新的網絡通信，個人防火墻都會提示用戶一次，詢問如何處理那種通信。然后個人防火墻便記住響應方式，并應用于以后遇到的相同那種網絡通信。

例如，如果用戶已經安裝了一臺個人Web服務器，個人防火墻可能將第一個傳入的Web連接作上標志，并詢問用戶是否允許它通過。用戶可能允許所有的Web連接、來自某些特定IP地址范圍的連接等，個人防火墻然后把這條規則應用于所有傳入的Web連接。

基本上，你可以將個人防火墻想象成在用戶計算機上建立了一個虛擬網絡接口。不再是計算機的操作系統直接通過網卡進行通信，而是以操作系統通過和個人防火墻對話，仔細檢查網絡通信，然后再通過網卡通信。

二、各類防火墻的優缺點

1．包過濾防火墻

使用包過濾防火墻的優點包括：

防火墻對每條傳入和傳出網絡的包實行低水平控制。

每個IP包的字段都被檢查，例如源地址、目的地址、協議、端口等。防火墻將基于這些信息應用過濾規則。

防火墻可以識別和丟棄帶欺騙性源IP地址的包。

包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。

包過濾通常被包含在路由器數據包中，所以不必額外的系統來處理這個特征。

使用包過濾防火墻的缺點包括：

配置困難。因為包過濾防火墻很復雜，人們經常會忽略建立一些必要的規則，或者錯誤配置了已有的規則，在防火墻上留下漏洞。然而，在市場上，許多新版本的防火墻對這個缺點正在作改進，如開發者實現了基于圖形化用戶界面(GUI)的配置和更直接的規則定義。

為特定服務開放的端口存在著危險，可能會被用于其他傳輸。例如，Web服務器默認端口為80，而計算機上又安裝了RealPlayer，那么它會搜尋可以允許連接到RealAudio服務器的端口，而不管這個端口是否被其他協議所使用，RealPlayer正好是使用80端口而搜尋的。就這樣無意中，RealPlayer就利用了Web服務器的端口。

可能還有其他方法繞過防火墻進入網絡，例如撥入連接。但這個并不是防火墻自身的缺點，而是不應該在網絡安全上單純依賴防火墻的原因。

2．狀態/動態檢測防火墻

狀態/動態檢測防火墻的優點有：

檢查IP包的每個字段的能力，并遵從基于包中信息的過濾規則。

識別帶有欺騙性源IP地址包的能力。

包過濾防火墻是兩個網絡之間訪問的唯一來源。因為所有的通信必須通過防火墻，繞過是困難的。

基于應用程序信息驗證一個包的狀態的能力， 例如基于一個已經建立的FTP連接，允許返回的FTP包通過。

基于應用程序信息驗證一個包狀態的能力，例如允許一個先前認證過的連接繼續與被授予的服務通信。

記錄有關通過的每個包的詳細信息的能力。基本上，防火墻用來確定包狀態的所有信息都可以被記錄，包括應用程序對包的請求，連接的持續時間，內部和外部系統所做的連接請求等。

狀態/動態檢測防火墻的缺點：

狀態/動態檢測防火墻唯一的缺點就是所有這些記錄、測試和分析工作可能會造成網絡連接的某種遲滯，特別是在同時有許多連接激活的時候，或者是有大量的過濾網絡通信的規則存在時。可是，硬件速度越快，這個問題就越不易察覺，而且防火墻的制造商一直致力于提高他們產品的速度。

3．應用程序代理防火墻

使用應用程序代理防火墻的優點有：

指定對連接的控制，例如允許或拒絕基于服務器IP地址的訪問，或者是允許或拒絕基于用戶所請求連接的IP地址的訪問。

通過限制某些協議的傳出請求，來減少網絡中不必要的服務。

大多數代理防火墻能夠記錄所有的連接，包括地址和持續時間。這些信息對追蹤攻擊和發生的未授權訪問的事件事很有用的。

使用應用程序代理防火墻的缺點有：

必須在一定范圍內定制用戶的系統，這取決于所用的應用程序。

一些應用程序可能根本不支持代理連接。

4．NAT

使用NAT的優點有：

所有內部的IP地址對外面的人來說是隱蔽的。因為這個原因，網絡之外沒有人可以通過指定IP地址的方式直接對網絡內的任何一臺特定的計算機發起攻擊。

如果因為某種原因公共IP地址資源比較短缺的話，NAT可以使整個內部網絡共享一個IP地址。

可以啟用基本的包過濾防火墻安全機制，因為所有傳入的包如果沒有專門指定配置到NAT，那么就會被丟棄。內部網絡的計算機就不可能直接訪問外部網絡。

使用NAT的缺點：

NAT的缺點和包過濾防火墻的缺點是一樣的。雖然可以保障內部網絡的安全，但它也是一些類似的局限。而且內網可以利用現流傳比較廣泛的木馬程序可以通過NAT做外部連接，就像它可以穿過包過濾防火墻一樣的容易。

注意：現在有很多廠商開發的防火墻，特別是狀態/動態檢測防火墻，除了它們應該具有的功能之外也提供了NAT的功能。

5．個人防火墻

個人防火墻的優點有：

增加了保護級別，不需要額外的硬件資源。

個人防火墻除了可以抵擋外來攻擊的同時，還可以抵擋內部的攻擊。

個人防火墻是對公共網絡中的單個系統提供了保護。例如一個家庭用戶使用的是Modem或ISDN/ADSL上網，可能一個硬件防火墻對于他來說實在是太昂貴了，或者說是太麻煩了。而個人防火墻已經能夠為用戶隱蔽暴露在網絡上的信息，比如IP地址之類的信息等。

個人防火墻的缺點：

個人防火墻主要的缺點就是對公共網絡只有一個物理接口。要記住，真正的防火墻應當監視并控制兩個或更多的網絡接口之間的通信。這樣一來的話，個人防火墻本身可能會容易受到威脅，或者說是具有這樣一個弱點，網絡通信可以繞過防火墻的規則。