防火墙的分类与作用 浅论防火墙技术应用

核心提示： 复合型（Hybfid）防火墙将包过滤和代理服务两种方法结合起来，形成新的防火墙，防火墙的分类与作用 浅论防火墙技术应用(2)，由堡垒主机（Bastion Host）提供代理服务，各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，此时，需要路由器在原过滤规则的基础附上另外的条件

复合型（Hybfid）防火墙将包过滤和代理服务两种方法结合起来，形成新的防火墙，由堡垒主机（Bastion Host）提供代理服务。

各类防火墙路由器和各种主机按其配置和功能可组成各种类型的防火墙，主要有：双宿主主机防火墙（Dual-Homed Host Firewall），它是由堡垒主机充当网关，并在其上运行防火墙软件，内外网之间的通信必须经过堡垒主机；主机过滤防火墙（ Sceened HOst Firewall）是指一个包过滤路由器与外部网相连，同时，一个堡垒主机安装在内部网上，使堡垒主机成为外部网所能到达的惟一节点，从而确保内部网不受外部非授权用户的攻击；加密路由器（Encryption Router），加密路由器对通过路由器的信息流进行加密和压缩，然后通过外部网络传输到目的端进行解压缩和解密。

各类防火墙的基本功能、作用与不足

典型的防火墙应包含如下模块中的一个或多个：包过滤路由器、应用层网关（或代理服务器）以及链路层网关。

1、包过滤路由器

包过滤路由器将对每一个接收到的包进行允许／拒绝的决定。具体地，它对每一个数据报的包头，按照包过滤规则进行判定，与规则相匹配的包依据路由表信息继续转发，否则，则丢弃之。

与服务相关的过滤，是指基于特定的服务进行包过滤，由于绝大多数服务的监听都驻留在特定TCP/UDP端口，因此，阻塞所有进入特定服务的连接，路由器只需将所有包含特定 TCP/UDP目标端口的包丢弃即可。

独立于服务的过滤，有些类型的攻击是与服务无关的，比如：带有欺骗性的源ＩＰ地址攻击（包中包含一个错误的内部系统源IP地址，经掩饰后变成一个似乎来自于一个可以信任的内部主机，此时的过滤规则为：当一个具有内部源IP地址的包到达路由器的任意一个外部接口时，将此包丢弃。）、源路由攻击、细小碎片攻击（入侵者使用IP分裂技术将包划分成很小的一些碎片，然后将ＴCP头的信息插入包的一个小碎片中，寄希望过滤规则为丢弃协议类型为TCP而ＩＰ帧偏移量为1的所有包）等。由此可见此类网上攻击仅仅借助包头信息是难以识别的，此时，需要路由器在原过滤规则的基础附上另外的条件，这些条件的判别信息可以通过检查路由表、指定IP选择、检查指定帧偏移量等获得。