防火墙知识点小结


防火墙由服务访问规则，验证工具，包过滤和应用网关4个部分组成。

防火墙是一个位于计算机和它所连接的网络之间的软件或硬件，该计算机流入流出的所有网络通信均通过该防火墙。

常见的防火墙有两种，网络层和应用层防火墙。

###网络层防火墙可视为一种IP包过滤器，运行在底层的TCP/IP协议栈上，现在的绝大多数操作系统和网络设备均已内置防火墙功能。

###较新的防火墙可以使用封包的多种属性来进行过滤。

###应用层防火墙是在TCP/IP堆栈的应用层上运行，使用浏览器或FTP时所产生的流量均属于这一层，应用层防火墙可以拦截进出某应用程序的所有封包，并且拦截其他的封包（通常是将封包直接丢弃）。理论而言，该层防火墙可以完全隔绝外部的数据包进入受保护的机器内。

###XML防火墙是一种新形态的应用层防火墙。

防火墙的结构：

#防火墙的基本结构可以分为包过滤和应用代理两种。包过滤技术关注的是网络层和传输层的保护，应用代理更多关系应用层的保护。

%包过滤可以分为简单包过滤和状态监测包过滤两种。

%简单包过滤技术不能跟踪TCP的状态，所以对TCP层的控制是有漏洞的。

%状态检测包过滤。

%包过滤最大的优点是部署容易，对应用透明。包过滤的另一个优点是性能，状态检测包是各种防火墙结构中在吞吐能力上最具优势的结构。

%缺点：包过滤防火墙对于网络控制的依据依然是IP地址和服务端口等基本的传输层以下的信息。对于应用层缺乏足够的保护，而大量的网络攻击是利用系统的漏洞实现的。

%应用代理防火墙是为了防范应用层攻击而设计的。最初的代表为TIS工具包。代理的原理是彻底切断两端的直接通信，所有通信都必须经过应用层的代理转发，访问者在任何时候都不能和服务器建立直接的TCP连接，应用层的协议会话过程必须符合代理的安全策略的要求。

%代理技术的一个弱点是缺乏对应用的透明性，特别是在一个复杂的分布计算的网络环境下，几乎无法成功的部署一个代理结构的防火墙，这种情况在企业内部进行安全区域分割是尤为明显。

%代理的另一个弱点是性能很差。代理防火墙必须建立在操作系统提供的SOCKET网络服务接口之上，其对每个访问实例的处理开销和资源消耗接近于WEB服务器的两倍，这使得应用代理防火墙的性能通常很难超过45Mbps的转发速率和1000歌并行访问。对于一个繁忙的站点而言，这是一个很难接受的性能。

%状态检测包过滤和应用代理这种技术目前依然是防火墙市场中普遍采用的主流技术，但两种技术正在形成一种融合的趋势，演变的结构或许会导致一种新的结构的出现。

%如果需要一个能够支持几千个甚至几万个并发访问，同时又要有相当于代理技术的应用层防护能力的系统，流过滤结构几乎是唯一的选择。

%对于防火墙而言，技术的不断进步才是安全的保障。

###实现防火墙技术的几种方式：

#应用网关

#电路级网关

#包过滤

#代理