第六章 防火墙技术



            的信息非常容易被攻击者所熟悉。攻击者可以知道一个系统使用的频繁程度，这
            个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火
            墙可以同样阻塞有关内部网络中 DNS 信息，这样一台主机的域名和 IP 地址就不
            会被外界所了解。除了安全作用，防火墙还支持具有 Internet 服务特性的企业内
            部技术体系 VPN，通过 VPN，将企事业单位在地域上分布在世界各地的 LAN 或

            专用子网有机地联成一个整体，不仅省去了专用通信线路，而且为信息共享提供
            了技术保障。

                 三、防火墙技术的类型


                 从防护和隔离的层次不同，防火墙可以分为以下几种类型：
                 （一）包过滤型（Packet Filter）防火墙
                 数据包过滤型（Packet Filter）技术是在网络层对数据包进行选择，选择的
            依据是系统内设置的过滤逻辑，称为访问控制表（Access Control Table). 通过检查

            数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素。或
            它们的组合来确定是否允许数据包通过。数据包过滤防火墙逻辑简单，价格便宜，
            易于安装和使用，网络性能和透明性好，它安装在路由器上。路由器是内部网络

            Internet 连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要
            任何额外的费用。包过滤的优点是一个过滤路由器能协助保护整个网络，数据包
            对用户透明，过滤路由器速度快、效率高；缺点是不能彻底防止地址欺骗，一些
            应用协议不适合于数据包过滤，正常的数据包过滤路由器无法执行某些安全策略。
                 1. 静态包过滤防火墙

                 静态包过滤防火墙工作在 TCP/IP 协议的网络接口层和网间层，进行策略过
            滤的参数都是静态手动设置的。静态包过滤防火墙主要是检查数据包中网络层的
            IP 地址和传输层的端口信息，来进行静态的数据包过滤。此种过滤方式是没有状

            态的，不能做到检查数据包的上下文，需要在数据进出的两个方向是都设置过滤
            策略。虽然通过静态包过滤的方式能够对内部系统提供一定的安全保护，但是静
            态包过滤不能算作是真正的防火墙。这种方式只能算做是访问控制列表的一种，
            即一条限制策略只能在一个方向上进行静态的检查，无法做到数据的关联性检查。
            后续部分称静态包过滤防火墙为访问控制列表。访问控制列表是对数据包进行静

            态分类和过滤的一组策略命令。访问控制列表只能基于静态策略进行数据的访问


                                                                                    173
                                                                                    173