防火墙技术与结构

核心提示： 但是应当注意到，包过滤技术本身对网络的保护功能是有局限的，防火墙技术与结构(2)，这是因为它是在网络层和传输层上运作的技术，因而对位于网络更高协议层的信息无理解能力，使用代理服务器的缺点在于需要为每个网络服务专门设计、开发代理服务软件及相应的监控过滤功能，并且由于代理服务具有相当的工作量，

但是应当注意到，包过滤技术本身对网络的保护功能是有局限的。这是因为它是在网络层和传输层上运作的技术，因而对位于网络更高协议层的信息无理解能力，使得它对通过网络应用层协议实现的安全威胁无防范能力。由于数据包过滤逻辑是静态指定的，因而系统的操作、维护工作量相当可观，包过滤逻辑的静态设置也使得它对需要动态指定TCP端口号的应用协议(如FTP和X-Windows)的应用受到限制。此外，进行数据包的检查和过滤会对路由设备的工作性能产生可观的影响。并且由于路由器内部资源的限制，通常路由器对所发现的非法数据包仅是删除而已，并不作报告，从而不具有安全保障系统所要求的可审核性。

近来已有路由器厂家开始通过软件实现非法数据包的登录和报告，但启动此功能对路由器性能的影响是可观的。应用级网关(Application Gateway)具有建立在网络应用层上的协议过滤、转发功能，针对特别的网络应用服务协议指定数据过滤逻辑，并可根据在按应用协议指定的数据过滤逻辑进行过滤的同时，将对数据包分析的结果及采取的措施作登录和统计，形成报告。实际中应用级网关通常由专用工作站系统实现。数据包过滤技术与应用级网关技术的一个共有特点是：它们仅根据特定的逻辑检查来决定是否允许特定的数据包通过。一旦特定的网络数据流满足逻辑，则防火墙内外的计算机系统建立直接联系，因而仍然存在防火墙外部网络系统直接了解防火墙内网络结构和运行状态的可能。

代理服务器技术(Proxy Server)则是针对这一问题引入的“防火墙”技术，其特点是将所有跨越防火墙的网络通讯链路分为二段。防火墙内外计算机系统间的应用层的“连接”由二个终止于代理服务器上的“连接”来实现，外部计算机的网络链路只能到达代理服务器，由此实现了“防火墙”内外计算机系统的隔离，代理服务器在此等效于一个网络传输层上的数据转发器的功能。代理服务器是“防火墙”技术中颇受推崇的一种，它的优点在于可以将被保护网络内部结构屏蔽起来，显著增强了网络的安全性能，同时代理服务器还可以用于实施较强的数据流监控、过滤、记录、报告等功能。使用代理服务器的缺点在于需要为每个网络服务专门设计、开发代理服务软件及相应的监控过滤功能，并且由于代理服务具有相当的工作量，因此通常需要专用的硬件(即工作站)来承担。