現在無論是企業，還是個人，信息安全問題都日益成為廣泛關注的焦點。不要說絕大多數非專業的企業網站，就邊專業的著名網站，如Yahoo！、eBay等著名網站都曾經被黑客用原始的DoS攻擊方法攻陷過，軟件系統巨人——微軟公司的網站也難逃“黑”運。在這樣一個大環境下，網絡安全問題凝了人們的注意力，大大小小的企業紛紛為自己的內部網絡“筑墻”，防病毒與防黑客成為確保企業信息系統安全的基本手段。這里所說的“墻”在相當大程度上指的就是本篇要向大家介紹的“防火墻”。它是企事業單位局域網的安全守護神。但由于它身價的高貴性(動輒十幾萬)，不要說大多數網絡愛好者，中、小企業事業單位老總無緣一睹尊容，就連專門從事網絡管理的中小企業網管人員也只能是“道聽途說”。一時間防火墻這一設備在人們心中顯得更是高不可攀。為此，本教程將為大家提供比較詳盡的介紹，希望對各位有所裨益。

　　一、防火墻概念

　　防火墻的英文名為“FireWall”，它是目前一種最重要的網絡防護設備。它的網絡中經常是以圖1所示的兩種圖標出現的。左邊那個圖標非常形象，真正像一堵墻一樣。而右邊那個圖標則是從防火墻的過濾機制來形象化的，在圖標中有一個二極管圖標。而二極管我們知道，它具有單向導電性，這樣也就形象地說明了防火墻具有單向導通性。這看起來與現在防火墻過濾機制有些矛盾，不過它卻完全體現了防火墻初期的設計思想，同時也在相當大程度上體現了當前防火墻的過濾機制。因為防火最初的設計思想是對內部網絡總是信任的，而對外部網絡卻總是不信任的，所以最初的防火墻是只對外部進來的通信進行過濾，而對內部網絡用戶發出的通信不作限制。當然目前的防火墻在過濾機制上有所改變，不僅對外部網絡發出的通信連接要進行過濾，對內部網絡用戶發出的部分連接請求和數據包同樣需要過濾，但防火墻仍只對符合安全策略的通信通過，也可以說具有“單向導通”性。

 

 

防火墻的本義是指古代構筑和使用木制結構房屋的時侯，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構筑物就被稱之為“防火墻”。其實與防火墻一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當于我們這里所講的防火墻的“安全策略”，所以在此我們所說的防火墻實際并不是一堵實心墻，而是帶有一些小孔的墻。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單向導通性”。

　　我們這里所介紹的網絡防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防御系統。防火可以使企業內部網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護內部網絡。

　　以上僅是一種宏觀意義的解釋，對于防火墻的概念，目前還沒有一個準確、標準的定義。通常人們認為：防火墻是位于兩個(或多個)網絡間，實施網絡之間訪問控制的一組組件集合。它具有以下三個方面的基本特性：

　　內部網絡和外部網絡之間的所有網絡數據流都必須經過防火墻

　　這是防火墻所處網絡位置特性，同時也是一個前提。因為只有當防火墻是內、外部網絡之間通信的惟一通道，才可以全面、有效地保護企業網部網絡不受侵害。

　　根據美國國家安全局制定的《信息保障技術框架》，防火墻適用于用戶網絡系統的邊界，屬于用戶網絡邊界的安全保護設備。所謂網絡邊界即是采用不同安全策略的兩個網絡連接處，比如用戶網絡和互聯網之間連接、和其它業務往來單位的網絡連接、用戶內部網絡不同部門之間的連接等。防火墻的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火墻的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。

　　典型的防火墻體系網絡結構如圖1所示。從圖中可以看出，防火墻的一端連接企事業單位內部的局域網，而另一端則連接著互聯網。所有的內、外部網絡之間的通信都要經過防火墻。

　　只有符合安全策略的數據流才能通過防火墻

　　這是防火墻的工作原理特性。防火墻之所以能保護企業內部網絡，就是依據這樣的工作原理或者說是防護機制進行的。它可以由管理員自由設置企業內部網絡的安全策略，使允許的通信不受影響，而不允許的通信全部拒絕地內部網絡之外。

　　防火墻自身應具有非常強的抗攻擊免疫力

　　這是防火墻之所以能擔當企業內部網絡安全防護重任的先決條件。就像公安干警一樣，如果自己都沒有“百毒不侵”的過硬意志和本領，又如何經得住罪犯的種種誘惑和攻擊呢？防火墻處于網絡邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統外，再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。

二、防火墻的分類

　　認識了防火墻之后，我們就來對當前市場上的防火墻進行一下分類。目前市場的防火墻產品非常之多，劃分的標準也比較雜。在此我們對主流的分類標準進行介紹。

　　1. 從防火墻的軟、硬件形式分

　　很明顯，如果從防火墻的軟、硬件形式來分的話，防火墻可以分為軟件防火墻和硬件防火墻。

　　最初的防火墻與我們平時所看后勁的集線器、交換機一樣，都屬于硬件產品。如圖2所示的是3Com公司的一款3Com SuperStack 3防火墻。它在外觀上與平常我們所見到的集線器和交換機類似，只是只有少數幾個接口，分別用于連接內、外部網絡，那是由防火墻的基本作用決定的。

 

 

　　隨著防火墻應用的逐步普及和計算機軟件技術的發展，為了滿足不同層次用戶對防火墻技術的需求，許多網絡安全軟件廠商開發出了基于純軟件的防火墻，俗稱“個人防火墻”。之所以說它是“個人防火墻”，那是因為它是安裝在主機中，只對一臺主機進行防護，而不是對整個網絡。

　　2. 從防火墻技術來分

　　防火墻技術雖然出現了許多，但總體來講可分為“包過濾型”和“應用代理型”兩大類。前者以以色列的Checkpoint防火墻和Cisco公司的PIX防火墻為代表，后者以美國NAI公司的Gauntlet防火墻為代表。

　　(1). 包過濾(Packet filtering)型

　　包過濾型防火墻工作在OSI網絡參考模型的網絡層和傳輸層，它根據數據包頭源地址，目的地址、端口號和協議類型等標志確定是否允許通過。只有滿足過濾條件的數據包才被轉發到相應的目的地，其余數據包則被從數據流中丟棄。

　　包過濾方式是一種通用、廉價和有效的安全手段。之所以通用，是因為它不是針對各個具體的網絡服務采取特殊的處理方式，適用于所有網絡服務；之所以廉價，是因為大多數路由器都提供數據包過濾功能，所以這類防火墻多數是由路由器集成的；之所以有效，是因為它能很大程度上滿足了絕大多數企業安全要求。

　　在整個防火墻技術的發展過程中，包過濾技術出現了兩種不同版本，稱為“第一代靜態包過濾”和“第二代動態包過濾”。

　　●第一代靜態包過濾類型防火墻

　　這類防火墻幾乎是與路由器同時產生的，它是根據定義好的過濾規則審查每個數據包，以便確定其是否與某一條包過濾規則匹配。過濾規則基于數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。

　　●第二代動態包過濾類型防火墻

　　這此防火墻采用動態設置包過濾規則的方法，避免了靜態包過濾所具有的問題。這種技術后來發展成為包狀態監測(Stateful Inspection)技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據需要可動態地在過濾規則中增加或更新條目。

　　包過濾方式的優點是不用改動客戶機和主機上的應用程序，因為它工作在網絡層和傳輸層，與應用層無關。但其弱點也是明顯的：過濾判別的依據只是網絡層和傳輸層的有限信息，因而各種安全要求不可能充分滿足；在許多過濾器中，過濾規則的數目是有限制的，且隨著規則數目的增加，性能會受到很大地影響；由于缺少上下文關聯信息，不能有效地過濾如UDP、RPC一類的協議；另外，大多數過濾器中缺少審計和報警機制，它只能依據包頭信息，而不能對用戶身份進行驗證，很容易受到“地址欺騙型”攻擊。對安全管理人員素質要求高，建立安全規則時，必須對協議本身及其在不同應用程序中的作用有較深入的理解。因此，過濾器通常是和應用網關配合使用，共同組成防火墻系統。

　(2). 應用代理(Application Proxy)型

　　應用代理型防火墻是工作在OSI的最高層，即應用層。其特點是完全"阻隔"了網絡通信流，通過對每種應用服務編制專門的代理程序，實現監視和控制應用層通信流的作用。其典型網絡結構如圖3所示。

 

 

　　在代理型防火墻技術的發展過程中，它也經歷了兩個不同的版本，即：第一代應用網關型代理防火和第二代自適應代理防火墻。

　　●第一代應用網關(Application Gateway)型防火墻

　　這類防火墻是通過一種代理(Proxy)技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后，就好像是源于防火墻外部網卡一樣，從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。

　　●第二代自適應代理(Adaptive proxy)型防火墻

　　它是近幾年才得到廣泛應用的一種新防火墻類型。它可以結合代理類型防火墻的安全性和包過濾防火墻的高速度等優點，在毫不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個：自適應代理服務器(Adaptive Proxy Server)與動態包過濾器(Dynamic Packet filter)。

　　在“自適應代理服務器”與“動態包過濾器”之間存在一個控制通道。在對防火墻進行配置時，用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以了。然后，自適應代理就可以根據用戶的配置信息，決定是使用代理服務從應用層代理請求還是從網絡層轉發包。如果是后者，它將動態地通知包過濾器增減過濾規則，滿足用戶對速度和安全性的雙重要求。

　　代理類型防火墻的最突出的優點就是安全。由于它工作于最高層，所以它可以對網絡中任何一層數據通信進行篩選保護，而不是像包過濾那樣，只是對網絡層的數據進行過濾。

　　另外代理型防火墻采取是一種代理機制，它可以為每一種應用服務建立一個專門的代理，所以內外部網絡之間的通信不是直接的，而都需先經過代理服務器審核，通過后再由代理服務器代為連接，根本沒有給內、外部網絡計算機任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。包過濾類型的防火墻是很難徹底避免這一漏洞的。就像你要向一個陌生人物遞交一份聲明一樣，如果你先將這份聲明交給你的律師，然后律師就會審查你的聲明，確認沒有什么負面的影響后才由他交給那個陌生人。在此期間，陌生人對你的存在一無所知，因為他僅與你的律師進行交接。如果要對你進行侵犯，他直接面對的將是你的律師，而你的律師當然比你更加清楚該如何對付這種人。

有優點就有缺點，任何事物都一樣。代理防火墻的最大缺點就是速度相對比較慢，當用戶對內外部網絡網關的吞吐量要求比較高時，代理防火墻就會成為內外部網絡之間的瓶頸。那因為防火墻需要為不同的網絡服務建立專門的代理服務，在自己的代理程序為內、外部網絡用戶建立連接時需要時間，所以給系統性能帶來了一些負面影響，但通常不會很明顯。

　　3. 從防火墻結構分

　　從防火墻結構上分，防火墻主要有：單一主機防火墻、路由器集成式防火墻和分布式防火墻三種。

　　單一主機防火墻是最為傳統的防火墻，它就像本文圖2所介紹的那款3Com防火墻一樣，獨立于其它網絡設備，它位于網絡邊界。

　　這種防火墻其實與一臺計算機結構差不多(如圖4所示的是一款硬件防火墻)，同樣包括CPU、內存、硬盤等基本組件，當然主板更是不能少了，且主板上也有南、北橋芯片。它與一般計算機最主要的區別就是一般防火墻都集成了兩個以上的以太網卡，因為它需要連接一個以上的內、外部網絡。其中的硬盤就是用來存儲防火墻所用的基本程序，如包過濾程序和代理服務器程序等，有的防火墻還把日志記錄也記錄在此硬盤上。雖然如此，但我們不能說它就與我們平常的PC機一樣，因為它的工作性質，決定了它要具備非常高的穩定性、實用性，具備非常高的系統吞吐性能。正因如此，看似與PC機差不多的配置，價格甚遠。

 

 

　　隨著防火墻技術的發展及應用需求的提高，原來作為單一主機的防火墻現在已發生了許多變化。最明顯的變化就是現在許多中、高檔的路由器中已集成了防火墻功能，還有的防火墻已不再是一個獨立的硬件實體，而是由多個軟、硬件組成的系統，這種防火墻，俗稱“分布式防火墻”。

　　原來單一主機的防火墻由于價格非常昂貴，僅有少數大型企業才能承受得起，為了降低企業網絡投資，現在許多中、高檔路由器中集成了防火墻功能。如Cisco IOS防火墻系列。但這種防火墻通常是較低級的包過濾型。這樣企業就再同時購買路由器和防火墻，大大降低了網絡設備購買成本。

分布式防火墻再也不是只是位于網絡邊界，而是滲透于網絡的每一臺主機，對整個內部網絡的主機實施保護。在網絡服務器中，通常會安裝一個用于防火墻系統管理軟件，在服務器及各主機上安裝有集成網卡功能的PCI防火墻卡 ，這樣一塊防火墻卡同時兼有網卡和防火墻的雙重功能。這樣一個防火墻系統就可以徹底保護內部網絡。各主機把任何其它主機發送的通信連接都視為“不可信”的，都需要嚴格過濾。而不是傳統邊界防火墻那樣，僅對外部網絡發出的通信請求“不信任”。關于這一點，我們將在防火墻新技術篇中將詳細介紹。

　　4. 按防火墻的應用部署位置分

　　如果按防火墻的應用部署位置分，可以分為邊界防火墻、個人防火墻和混合防火墻三大類。

　　邊界防火墻是最傳統的那種，它們于內、外部網絡的邊界，所起的作用的對內、外部網絡實施隔離，保護邊界內部網絡。這類防火墻一般都是硬件類型的，價格較貴，性能較好。

　　個人防火墻安裝于單臺主機中，防護的也只是單臺主機。這類防火墻應用于廣大的個人用戶，通常為軟件防火墻，價格最便宜，性能也最差。

　　混合式防火墻可以說就是“分布式防火墻”或者“嵌入式防火墻”，它是一整套防火墻系統，由若干個軟、硬件組件組成，分布于內、外部網絡邊界和內部各主機之間，既對內、外部網絡之間通信進行過濾，又對網絡內部各主機間的通信進行過濾。它屬于最新的防火墻技術之一，性能最好，價格也最貴。

　　5. 按防火墻性能分

　　如果按防火墻的性能來分可以分為百兆級防火墻和千兆級防火墻兩類。因為防火墻通常位于網絡邊界，所以不可能只是十兆級的。這主要是指防火的通道帶寬，或者說是吞吐率。當然通道帶寬越寬，性能越高，這樣的防火墻因包過濾或應用代理所產生的延時也越小，對整個網絡通信性能的影響也就越小。

　　三、防火墻的主要功能

　　以上介紹了防火墻的含義，其實我們可以從防火墻的這些解釋中可以理解到防火墻的功能。具體來說，防火墻主要有以下幾方面功能：

　　創建一個阻塞點

　　隔離不同網絡，防止內部信息的外泄

　　強化安全策略

　　有效地審計和記錄內、外部網絡上的活動

　　1. 創建一個阻塞點

　　防火墻在一個公司內部網絡和外部網絡間建立一個檢查點。這種實現要求所有的流量都要通過這個檢查點。一旦這些檢查點清楚地建立，防火墻設備就可以監視，過濾和檢查所有進來和出去的流量。這樣一個檢查點，在網絡安全行業中稱之為“阻塞點”。通過強制所有進出流量都通過這些檢查點，網絡管理員可以集中在較少的地方來實現安全目的。如果沒有這樣一個供監視和控制信息的點，系統或安全管理員則要在大量的地方來進行監測。

　　2. 隔離不同網絡，防止內部信息的外泄

　　這是防火墻的最基本功能，它通過隔離內、外部網絡來確保內部網絡的安全。也限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。企業秘密是大家普遍非常關心的問題，一個內部網絡中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所截獲，攻擊者通過所獲取的信息可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網等信息。防火墻可以同樣阻塞有關內部網絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

3. 強化網絡安全策略

　　通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。各種安全措施的有機結合，更能有效地對網絡安全性能起到加強作用。

　　4. 有效地審計和記錄內、外部網絡上的活動

　　防火墻可以對內、外部網絡存取和訪問進行監控審計。如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并進行日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。這為網絡管理人員提供非常重要的安全管理信息，可以使管理員清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。

　　以上是從宏觀方面對防火墻的功能所進行的綜合描述，如果從技術微觀方面分的話，它主要體現在如下方面：

　　1. 包過濾

　　包過濾是防火墻所要實現的最基本功能，現在的防火墻已經由最初的地址、端口判定控制，發展到判斷通信報文協議頭的各部分，以及通信協議的應用層命令、內容、用戶認證、用戶規則甚至狀態檢測等等。

　　2. 審計和報警機制

　　在防火墻結合網絡配置和安全策略對相關數據分析完成以后，就要做出接受、拒絕、丟棄或加密等決定。如果某個訪問違反安全策略，審計和報警機制開始起作用，并作記錄和報告。審計是一種重要的安全舉措，用以監控通信行為和完善安全策略，檢查安全漏洞和錯誤配置。報警機制是在有通信違反相關安全策略后，防火墻可以有多種方式及時向管理員進行報警，如聲音、郵件、電話、手機短信息等。

　　防火墻的審計和報警機制在防火墻體系中是很重要的，只有有了審計和報警功能，管理人員才可能及時知道網絡是否受到了攻擊。通過防火墻日志啟示還可以進行統計、分析，得出系統安全存在最大不足和隱患，進而可以有針對性地進行改進。

　　但要注意的，由于要對整個網絡通信進行日志記錄，所以防火墻的日志記錄數據量比較大，在防火墻自身上是不可能能存儲這么龐大的日志文件的。通常采用外掛方式，即將日志掛接在內部網絡的一臺專門存放日志的日志服務器上。

　　3.NAT(Network Address Translation，網絡地址轉換)

　　網絡地址轉換功能現在也已成為防火墻的標準配置之一。通過此項功能就可以很好地屏蔽內部網絡的IP地址，對內部網絡用戶起到了保護作用。

　　NAT又分“SNAT (Source NAT)”和“DNAT (Destination NAT)”。SNAT就是改變轉發數據包的源地址，對內部網絡地址進行轉換，對外部網絡是屏蔽的，使得外部非常用戶對內部主機的攻擊更加困難，同時可以節省有限的