防火墙的五大技术你了解多少

　　防火墙，顾名思义阻挡的是火，这一名词起源于建筑领域，其作用是隔离火灾，阻止火势从一个区域蔓延到另一个区域。防火墙主要用于保护一个网络免受来自另一个网路的攻击和入侵。因其隔离，防守的属性，防火墙灵活应用于网络边界，子网隔离等位置。

　　防火墙对内外网络之间的传输进行控制，从防火墙的实现技术上来说也就是一下四种技术，包过滤技术，状态监测技术，NAT技术，应用级网关技术

　　1. 包过滤技术，这是最防火墙最基本的过滤技术了，就是根据一些设定好的安全策略进行检查过滤和筛选。这些安全规则是根据包中的信息来进行设定的，需要判断的信息包括，IP源地址，目标地址，协议类型，TCP或UDP的目的端口，ICMP的消息类型，TCP选项等等。包过滤防火墙是具有优先级规则的，每个需要检测的数据包要按照规则的前后顺序依次匹配，最后一条规则为防火墙的默认规则，一般默认规则也就会设置为2个情况，一种是全部通过，另一种是全部阻断，往往会设置为全部阻断，最后一条防火墙默认规则会将不匹配前面所有规则的数据包全部按默认方法处理。包过滤规则成本低，实现起来方便，速度快，但是在网络应用较多的时候配置起来就十分复杂了，而且主要在网络层和传输层来进行过滤拦截，不能阻断应用层攻击，也不支持对用户的连接认证。还不能防止IP欺骗，比如攻击者可以首先通过大量的数据包来探测出大概的包过滤规则，然后伪造大量的合法数据包就可以进行攻击

　　2. 状态拦截技术，也叫动态包过滤技术，不像包过滤规则那样部署一个静态的过滤规则，而是增加了对数据包连接状态变化的考虑，通过在防火墙的核心部分来建立起数据的连接状态表，利用这个状态表来跟踪每一个会话，记录有用的信息以及帮助识别不同的会话。现在说说这个实现过程，比如现在一个内网主机A和一个外网主机B，两者之间要进行通信，A向B发送一个TCP第一次握手请求，好了这个时候防火墙记录下来这个请求，然后将这个数据包的信息加入到状态连接表中，通过这个链接表动态跟踪后续的网络连接，好了现在这个外网主机收到了这个连接请求向其回复第二次握手的数据包，当防火墙收到这个数据包的时候，然后会从状态连接表中查找，正好发现了第一次握手的数据包信息，然后防火墙认为这是已经存在的连接的一部分，然后允许这个应答包通过，连接终止时，防火墙会把这个连接从状态连接表中删除。状态监测防火墙可以动态地记录各个连接的状态，可以在连接终止之后及时阻断后序的连接，防止伪造流量的通过，可以有效阻止更多伪造网络地址的DoS攻击，而不用为大量的正常访问请求来长久地开放大量的端口，但是当其处理无连接状态的UDP和ICMP数据包时，就无法提供动态的连接检查了，而且当在处理FTP请求的时候，FTP需要建立两个TCP连接，而且FTP标准协议下，FTP客户端在内网，服务端在外网，而且FTP的数据连接时从服务端到客户端的一个变化的端口，因此状态连接防火墙需要打开整个端口范围才允许第二个连接通过，此外就是连接非常大的网络，状态连接防火墙的分析工作所占用的时间也是比较多的，这样就会造成网络的延迟

　　3. 地址翻译技术(NAT)，目前来说合法的IPv4地址已经远远不够用了，所以现在很多局域网都是使用的私有网段的IP地址，无法与外部直接相连，NAT技术可以将这个局域网内部合法的内部IP地址解析为合法的外网的IP地址，这样内网的内部IP地址计算机无需变动也能与外网连接。当局域网的主机使用10.0.0.0,172.16.0.0和192.168.0.0这三个网段，如果内网的计算机需要与外网的计算机进行通信，然后再由网关处NAT来将内部的IP翻译为外部的IP，外部的数据包进入之后，NAT再将外部的IP翻译为内部的IP，从而实现内网与外网之间的正常通信，同时外网来的数据包只能看到由NAT翻译之后的公网IP地址，所以NAT还可以保护和隐藏内网的计算机，下面来简单说一下3种不同的内部实现过程：

　　a) 静态NAT，就是将内部的IP域公有的IP建立一一对应的关系，

　　b) NAT池，就是动态分配，事先由管理员定义好一组公网的IP地址，用户需要对外访问的时候，防火墙会从这些公网的IP地址池中动态抽取一个没有被使用的IP给用户，用户完成访问之后，防火墙将回收这个IP地址，当其他用户需要的时候再分配给他们

　　c) 端口地址转换PAT，就是用户的一个操作会映射到公网IP的一个端口，这样可以由一个公网的IP，得到65535个端口连接6万多部主机

　　4. 应用级网关，说白了就是代理服务器，与我们生活密切相关的科学上网代理服务器是干什么的不用我多说吧，代理服务器可以为内网的用户提供HTTP，FTP或某些特定的网络服务，相对于外网来说，代理服务器又是Internet的一台客户机，代理服务器主要就是转发功能，在内网的客户发送了对某网站站点的请求，代理服务器把这个请求发送到网站的web服务器，Web服务器传回的数据包，代理服务器在经过安全检查之后再转发给内网的服务器

　　5. 包过滤技术是在网络层进行的，通过检查某些安全规则来允许或禁止访问，NAT技术是在网络层和传输层进行的过滤，代理服务器就是在应用层进行的，而且对不同的应用服务器进行过滤，因此可以对常见的高层应用协议做更细的控制，但是代理服务器不允许用户直接访问网络，所以效率较低，而且应用级网关需要对每一个特定的Internet服务来安装相应的代理服务软件，在内网的用户需要安装这个软件的客户端，比如我们科学上网用的XXX是吧，而且并不是所有的Internet应用服务都可以使用代理。

　　防火墙如何判断报文在哪两个安全区域之间流动呢?首先，源安全区域很容易确定，防火墙从哪个接口接收报文，该接口所属的安全区域就是报文的源安全区域。

　　确定目的安全区域时分两种情况。三层模式下，防火墙通过查找路由表确定报文将要从哪个接口发出，该接口所属的安全区就是报文的目的安全区域;两层模式下，防火墙通过查找MAC地址转发表确定报文要从哪个接口发出，该接口所属的安全区域就是报文的目的安全区域。源安全区域和目的安全区域确定后，就可以知道报文从哪两个安全区域之间流动了。

　　另外还有一种情况，在VPN场景中，防火墙收到的是封装的报文，将报文解封装后得到原始报文，然后还是通过查找路由表来确定目的安全区域，报文从哪个接口发出，该接口所属的安全区域就是报文的目的安全区域。

　　而源安全区域不能简单地根据收到的接口来确定，此时防火墙会采用“反向查找路由表”的方式来确定原始报文的源安全区域。具体来说，防火墙把原始报文中的源地址假设成是目的地址，然后通过查找路由表确定这个目的的地址的报文将要从哪个接口发出，该接口所属的安全区域是报文将要去往的安全区域。反过来说，报文也就是从该区域发出的，所以反查路由表得到的这个安全区域就是报文的源安全区域。

　　相信大家看过这篇文章之后，对防火墙也有些了解，如果还有不懂得地方，就来课课家提问吧。