包过滤防火墙与代理服务器防火墙

  防火墙是一种网络安全防御技术，主要用于逻辑隔离外部网络与受保护的内部网络，防火墙的实现技术的种类比较多，在不同的角度上可以对它进行不同的分类，在这里小编要讲的是按照防护技术原理划分的包过滤防火墙与代理服务器防火墙。

　　1.包过滤防火墙

　　包过滤是最早使用的一种防火墙技术，它的第一代模型是“静态包过滤，使用包过滤技术的防火墙通常工作在OSI模型中的网络层上，后来发展更新的“动态包过滤增加了传输层，简而言之，包过滤技术工作的地方就是各种基于TCP/IP协议的数据报文进出的通道，它把这两层作为数据监控的对象，对每个数据包的头部、协议、地址、端口、类型等信息进行分析，并与预先设定好的防火墙过滤规则进行核对，一旦发现某个包的某个或多个部分与过滤规则匹配并且条件为“阻止”的时候，这个包就会被丢弃。

　　对数据包进行过滤实现防护功能：

　　检查数据流中每个数据包源、目的地址、所有TCP端口号和TCP链路状态等要素;

　　依据一组预定义规则，允许合乎规则的数据包通过，不合逻辑的数据包加以删除。

　　特点：

　　(1) 价格较低，对用户透明

　　(2) 速度快，对网络性能的影响很小

　　(3) 易于维护

　　(4) 对IP欺骗式攻击防护功能较弱包过滤配置起来比较复杂

　　基于包过滤技术的防火墙，其缺点是很显著的：它得以进行正常工作的一切依据都在于过滤规则的实施，但是偏又不能满足建立精细规则的要求(规则数量和防火墙性能成反比)，而且它只能工作于网络层和传输层，并不能判断高级协议里的数据是否有害，但是由于它廉价，容易实现，所以它依然服役在各种领域，在技术人员频繁的设置下为我们工作着。

　　包过滤技术可能存在的攻击有:

　　(1)IP地址欺骗:入侵者从防火墙外部发送一个源地址为内部主机的数据包。攻击者试图利用假的地址来进入那些仅对源地址信赖的系统。应对攻击的方法是一旦在防火墙的外部接口处发现源地址是内部地址的数据包，直接丢弃。

　　(2)源路由攻击:攻击者在来源位置注明数据包在Intemet 上传输时所应该采用的路由，由此希望绕过那些安全措施。应对措施是丢弃所有使用了这个选项的数据包。

　　(3)微分片攻击:入侵者使用IP分片选项来制造出非常小的分片，分片如此之小，使得TCP 头信息只能被放在一个独立的分片中。这种攻击方法用来对材那些过滤规则只能依赖于TCP头信息的防火墙很是有效。一般过滤防火墙仅仅检查第一个分片，然后将后面的所有的分片统统放行。如果防火墙将TCP 的E 碎片偏移地较小的分片者在丢弃，这种攻击也就失效。

　　2.代理服务器防火墙

　　代理服务器也叫应用层网关，它在应用层的通信中扮演着一个消息传递者的角色。用户使用Telnet和FTP之类的TCP/IP应用程序时建立了一个到网关的连接，这个网关要求用户给出将要访问的异地机器的正确名称。如果用户给出了一个有效的用户ID和验证信息，网关就建立一个到异地机器的应用层连接，并开始在访问者和被访问者之间传递包含着应用数据的TCP数据段。如果网关无法理解应用，防火墙会阻断该应用对应数据包。

　　代理服务器防火墙运行在两个网络之间，对客户来说像是一台真的服务器而对于外界的服务器来说，它又是一台客户机。代理服务器接收到用户请求后，检查用户请求的站点是否符合要求;如果允许用户访问该站点，代理服务器像一个客户一样，去站点取回所需信息再转发给客户。针对特定的网络应用服务协议使用指定的数据过滤逻辑;在过滤的同时对数据包进行分析、登记和统计，形成报告。

　　优点：

　　(1) 可将被保护的网络内部结构屏蔽起来，增强网络安全性;

　　(2) 可用于较强的数据流监控、过滤、记录和报告等。

　　缺点：

　　(1) 代理速度较路由器慢;

　　(2) 代理对用户不透明;

　　(3) 对于每项服务代理可能要求不同的服务器;

　　(4) 代理不能改进底层协议的安全性。

　　包过滤技术是在网络层进行的，通过检查某些安全规则来允许或禁止访问，代理服务器就是在应用层进行的，而且对不同的应用服务器进行过滤，因此可以对常见的高层应用协议做更细的控制，但是代理服务器不允许用户直接访问网络，所以效率较低。

　　包过滤防火墙与代理服务器防火墙是两种比较典型的防火墙技术，两者之间各有各的特点，至于怎么去使用这两种技术，那就要考大家学习了这两个技术的相关知识后自己再进行分析使用了，相信这样做会比别人直接告诉你有用得多了，当然，希望这篇文章也能给大家带来些许的帮助。