三种常见防火墙实现技术之对比与研究

admin管理员组

文章数量:1566633

2024年6月26日发(作者：)

维普资讯

山西科技ＳＨＡＮＸＩ　ＳＣＩＥＮＣＥ　ＡＮＤ　ＴＥＣＨＮＯＬＤＧＹ　２Ｏ０７年第６期１１月２０日出版　

●信息技术　

三种常见防火墙实现技术之对比与研究　

刘云峰　

（山西工程职业技术学院计算机工程系）　

摘要：随着计算机、网络越来越普及，越来越重要，防火墙技术离我们生活也越来越近。对于　

每一个从事电脑工作或涉及到网络安全的人来说，掌握一定的防火墙技术是很有必要　

的。文章由浅入深地介绍了目前主流的三种防火墙实现技术，并进行了对比与研究。　

关键词：防火墙；包过滤；代理；状态监测　

中图分类号：ＴＰ３０９　文献标识码：Ａ　

随着计算机和网络技术的发展，“防火墙”频繁地出现在普　

通计算机使用者的生活中。防火墙是一种非常有效的网络安　

全模型，通过它可以隔离风险区域（即Ｉｎｔｅｍｅｔ或有一定风险的　

网络）与安全区域（局域网）的连接，同时不会妨碍人们对风险　

区域的访问。防火墙可以监控网络的通信，仅让安全信息进　

入，同时又防止危险的数据传播。　

从技术上讲，防火墙分为包过滤技术、应用代理技术和状　

态监视三种类型。　

１包过滤技术（ＩＰ　Ｆｉｌｔｉｎｇ　Ｆｉｒｅｗａｌ１）　

包过滤技术是早期使用的一种防火墙技术。这种技术基　

于各种ＴＣＰ／ＩＰ协议的数据报文进行处理，把这两层作为数据　

监控的对象，对每个数据包的头部、协议、地址、端口、类型等信　

息进行分析，并与预先设定好的防火墙过滤规则（Ｆｉｌｔｅｒｉｎｇ　

Ｒｕｌｅ）进行相应的处理。这种技术只能根据预设的过滤规则进　

行判断，一旦出现一个没有在设计人员意料之中的有害数据包　

请求，整个防火墙就形同虚设了。　

这种防火墙用法很多，比如国家有关部门可以通过包过滤　

防火墙来禁止去访问那些违反我国有关规定的站点。包过滤　

防火墙最大的优点就是它对于用户来说是透明的，不需要用户　

名和密码来登录。这种防火墙速度快而且易于维护，通常作为　

第一道防线。但是这种防火墙的弊端也很明显，通常它没有用　

户的使用记录，这样我们就不能从访问记录中发现黑客的攻击　

记录。此外，配置繁琐也是包过滤防火墙的一个缺点。过滤规　

则表很快会变得很大而且复杂，规则很难测试，随着表的增大　

和复杂性的增加，规则结构出现漏洞的可能性也会增加。这种　

防火墙最大的缺陷是它依赖一个单一的部件来保护系统，如果　

这个部件出现了问题，会使得网络大门敞开，而用户甚至可能　

还不知道。　

２应用代理技术（Ｐｒｏｘｙ　Ｓｅｒｖｅｒ）　

随着网络攻击的越来越多，技术越来越先进，而包过滤技　

术无法提供完善的数据保护措施，例如ＳＹＮ攻击、ＩＣＭＰ洪水　

等，因此人们需要一种更全面的防火墙保护技术。在这样的需　

求背景下，采用应用代理技术的防火墙诞生了。我们都知道，　

一

个完整的代理设备包含一个服务端和客户端，服务端接收来　

自用户的请求，调用自身的客户端，模拟一个基于用户请求的　

连接到目标服务器，再把目标服务器返回的数据转发给用户，　

作者简介：刘云峰，男，１９７４年１０月出生，１９９７年毕业于北　

京科技大学，讲师，０３０００９，山西省太原市新建路１３１号　

收稿日期：２Ｏ０７—０９—１０　

文章编号：１００４—６４２９（２Ｏ０７）０６—００４３—０２　

完成一次代理工作过程。那么，如果在一台代理设备的服务端　

和客户端之间连接一个过滤措施，便造就了“应用代理”防火　

墙，这种防火墙实际上就是一台小型的带有数据检测过滤功能　

的透明代理服务器（Ｔｒａｎｓｐａｒｅｎｔ　Ｐｒｏｘｙ），但它并不是单纯地在一　

个代理设备中嵌入包过滤技术，而是一种被称为应用协议分析　

的新技术。　

应用协议分析技术工作在ＯＳＩ模型的应用层上，在这一层　

里能接触到的所有数据都是最终形式，也就是说，到达防火墙　

的数据和我们看到的是一样的，而不是一个个带着地址端口协　

议等原始内容的数据包，因而它可以实现更高级的数据检测过　

程。整个代理防火墙把自身映射为一条透明线路，在用户方面　

和外界线路看来，它们之间的连接并没有任何阻碍，但是这个　

连接的数据收发实际上是经过了代理防火墙转向的。当外界　

数据进入代理防火墙的客户端时，“应用协议分析”模块便根据　

应用层协议处理这个数据，通过预置的处理规则查询这个数据　

是否带有危害。由于这一层面对的已经不再是组合有限的报　

文协议，所以防火墙不仅能根据数据层提供的信息判断数据，　

更能像管理员分析服务器日志那样“看”内容辨危害。而且由　

于工作在应用层，防火墙还可以实现双向限制，在过滤外部网　

络有害数据的同时也监控内部网络信息，管理员可以配置防火　

墙实现一个身份验证和连接时限的功能，进一步防止内部网络　

信息泄漏的隐患。　

代理服务器通常也称作应用级防火墙。包过滤防火墙可　

以按照ｌＰ地址来禁止未授权者的访问，但是它不适合单位用　

来控制内部人员访问外界的网络。对于这样的企业来说应用　

级防火墙是更好的选择。　

代理服务器像真的墙一样挡在内部用户和外界之间，特别　

是从外面来的访问者只能看到代理服务器而看不到任何的内　

部资源，诸如用户的ｌＰ等。而内部客户根本感觉不到它的存　

在，可以自由访问外部站点。代理可以提供极好的访问控制、　

登录能力以及地址转换功能，对进出防火墙的信息进行记录，　

便于管理员监视和管理系统。　

这种防火墙具有极高的安全性，但是，这种高安全性是以　

牺牲产品的性能和对应用的透明性为代价来得到的。包过滤　

技术关注的是网络层和传输层的保护，而应用代理则更关心应　

用层的保护。　

代理型防火墙突出的优点就是安全。由于每一个内外网　

络之间的连接都要通过Ｐｒｏｙｘ的介入和转换，通过专门为特定　

的服务如Ｈａｐ编写的安全化的应用程序进行处理，然后由防　

火墙本身提交请求和应答，没有给内外网络的计算机以任何直　

・

４３・　

维普资讯

山西科技ＳＨＡＮＸＩ　ＳＣＩＥＮＣＥＡＮＤＴＥＣＨＮＯＬＯＧＹ　２ＯＯ７年第６期ｌ１月２０日出版　

接会话的机会，从而避免了入侵者使用数据驱动类型的攻击方　

式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏　

洞的。就像你要向一个陌生的重要人物递交一份声明一样，如　

还不能做到真正的完全有效的数据安全检测，而且在一般的计　

算机硬件系统上很难设计出基于此技术的完善防御措施。　

状态检测的包过滤利用状态表跟踪每一个网络会话的状　

态，对每一个包的检查不仅根据规则表，更考虑了数据包是否　

符合会话所处的状态，因而提供了更完整的对传输层的控制能　

力。同时由于一系列优化技术的采用，状态检测包过滤的性能　

也明显优于简单包过滤产品，尤其是在一些规则复杂的大型网　

络上。　

果你先将这份声明交给你的律师，然后律师就会审查你的声　

明，确认没有什么负面的影响后才由他交给那个陌生人。在此　

期间，陌生人对你的存在一无所知，如果要对你进行侵犯，他面　

对的将是你的律师，而你的律师当然比你更加清楚该如何对付　

这种人。　

．　

代理防火墙最大的缺点是速度相对比较慢，当用户对内外　

网络网关的吞吐量要求比较高时，（比如要求达到７５Ｍｂｌ￣～　

１０ｏＭｈ￣时）代理防火墙就会成为内外网络之间的瓶颈。所幸　

的是，目前用户接入Ｉｎｔｅｍｅｔ的速度一般都远低于这个数字。　

３状态监视器（ＳｔａｔｅＩｍｐｅｅｔｉｏｎ）　

状态检测防火墙基本保持了包过滤防火墙的优点，性能比　

较好，同时对应用是透明的，在此基础上，对于安全性有了大幅　

提升。这种防火墙摒弃了包过滤防火墙仅仅考察进出网络的　

数据包，不关心数据包状态的缺点，在防火墙的核心部分建立　

状态连接表，维护了连接，将进出网络的数据当成一个个的　

Ｓｌ￣ｉｏｎ来处理。可以这样说，状态检测包过滤防火墙规范了网　

络层和传输层行为，而应用代理型防火墙则是规范了特定的应　

用协议上的行为。状态检测包过滤和应用代理这两种技术目　

前仍然是防火墙市场中普遍采用的主流技术，但两种技术正在　

形成一种融合的趋势。　

至此，我们已经对三种防火墙技术进行了详细的分析与对　

比，详见表１。　

表１三种防火墙技术特性对比　

技术架构　包过滤　应用代理　状态检测　

这是继“包过滤”技术和“应用代理”技术后发展的防火墙　

技术。状态监视器作为防火墙技术其安全特性最佳，它采用了　

一

个在网关上执行网络安全策略的软件引擎，称之为状态检测　

模块。检测模块在不影响网络正常工作的前提下，采用抽取相　

关数据的方法对网络通信的各层实施监测，抽取部分数据，即　

状态信息，并动态地保存起来作为后续制定安全策略的参考。　

检测模块支持多种协议和应用程序，并可以很容易地实现应用　

和服务的扩充。与其他安全方案不同，当用户访问到达网关的　

操作系统前。状态监视器要抽取有关数据进行分析，结合网络　

配置和安全规定做出接纳、拒绝、鉴定或给该通信加密等决定。　

旦发现某个访问违反安全规定，安全报警器就会拒绝该访　

一

综合安全性　

网络层保护　

应用层访问控制　

应用透明性　

．　

低　

有　

无　

有　

高　中等　

问，并作下记录向系统管理器报告网络状态。　

这种技术在保留了对每个数据包的头部、协议、地址、端　

很少　强　

强，但缺少可扩展性　简单的内容过滤　

无　有　

口、类型等信息进行分析的基础上，进一步发展了“会话过滤”　

（ｓｅｓｓｉｏｎ　ｒａｔ￣ｇ）功能，在每个连接建立时，防火墙会为这个连　

接构造一个会话状态，里面包含了这个连接数据包的所有信　

息，以后这个连接都基于这个状态信息进行。这种检测的高明　

之处是能对每个数据包的内容进行监视，一旦建立一个会话状　

态，此后的数据传输都要以此会话状态作为依据，例如一个连　

接的数据包源端口是８０００，那么在以后的数据传输过程里防火　

墙都会审核这个包的源端口是不是８０００，否则这个数据包就被　

拦截。而且会话状态的保留是有时间限制的，在超时的范围内　

如果没有再进行数据传输，这个会话状态就会被丢弃。状态监　

视可以对包的内容进行分析，从而摆脱传统防火墙仅局限于几　

个包头部信息的检测弱点，而且这种防火墙不必开放过多端　

口，进一步杜绝了可能因为开放端口过多而带来的安全隐患。　

由于状态监视技术相当于结合了包过滤技术和应用代理　

技术，因此是最先进的，但是由于实现技术复杂，在实际应用中　

性能　较好　差　好　

目前防火墙已经在Ｉｎｔｅｍｅｔ上得到了广泛的应用，也更具　

生命力。但防火墙并不能解决网络安全的所有问题，而只是网　

络安全策略中的一个组成部分。防火墙作为维护网络安全的　

关键设备，在目前采用的网络安全的防范体系中，占据着举足　

轻重的位置。伴随计算机技术的发展和网络应用的普及，越来　

越多的企业与个体都遭遇到不同程度的安全难题，因此市场对　

防火墙的设备需求和技术要求都在不断提升，而且越来越严峻　

的网络安全问题也要求防火墙技术有更快的提高，否则远不能　

满足网络安全的实际需要。　

参考文献　

［１］　阎慧，王伟，宁宇鹏，等．防火墙原理与技术［Ｍ］．北　

京：机械工业出版社。２ＯＯ４．　

［２］杨富国，吕志军，等．网络设备安全与防火墙［Ｍ］．北京：　

清华大学出版社，２ＯＯ５、　（校对：张岩）　

｜ｓⅡ　：Ｗｊｔｌ１　ｅｏｍｐｕｔｅｍ，ｎｅｔｗｏｒｋｓ　ｂｅｃｏｍｉｎｇｎ１ｏｒｅ　ａｎｄＩｌ　ｐｏｐｕｌａｒ，Ｉｌ　ａｎｄ　ｎ１ｏｆｅｉｍｐｏｒｔａｎｔ，ｆｉｒｅｗａｌｌｔｅｃｈｎｏｌｏｇｙｉｓ　ｇｅｔｔｉｎｇ　ｃｌｏｓｅｒｔｏ　

，ｅｄ　ｉｎｔｈｅ　ｃｏｍｐｕｔｅｒ　ｉｎｄｕｓｔｒｙ　Ｏ１＂ｒｅｌａｔｅｄｔｏ　ｎｅｔｗｏｒｋ　ｓｅｃｕｒｉｔｙ，ａ　ｂｅｔｔｅｒ　ｕｎｄｅｒｓｔａｎｄｉｎｇ　ｏｆｆｉｒｅｗａｌｌ　ｔｅｃｈｎｏｌｏｇｙ　ｉｓ　ｎｅｃｅｓｓａｒ３ｒ．　ｏ１１１７　ｉｆｖｅｓ．Ｆｏｒ　ｅｖｅｒｙ　ｏｒｔｅ　ｅ￣

Ｔｈｉｓ　ｔｈｅｓｉｓ　ｅｘｐｌａｉｎｓ　ｔｈｅ　ｔｈｒｅｅ　ｍａｉｎ￣ｗａｌｌ　ｔｅｃｈｎｏｌｏｇｉｅｓ，ｃｏｍｐａｒｅｓ　ａｎｄ　ｓｔｎｄｉｅｓ　ｔｈｅｍ．　

ＫＥＹ　ＷＯＲＤＳ：ＦｕｅｗａＵ；ＩＰ　Ｆ＇ｄｔｉｎｇ；Ｐｒｏｘｙ；Ｓｔａｔｅ　Ｉｎｓｐｅｃｔｉｏｎ　

・

４４・　

本文标签： 防火墙技术过滤数据代理