防火墻的知識(shí)對(duì)于一些非專(zhuān)業(yè)的朋友來(lái)講是一些很難懂，看起來(lái)很復(fù)雜的東西，但其實(shí)等你真正的去了解之后才發(fā)現(xiàn)這些其實(shí)別不是那么難，現(xiàn)在就由小編簡(jiǎn)單的為大家介紹一下防火墻的原理及應(yīng)用。

　　防火墻的原理：

　　1、包過(guò)濾防火墻

　　包過(guò)濾是在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包實(shí)施有選擇的通過(guò)，依據(jù)系統(tǒng)事先設(shè)定好的過(guò)濾邏輯，檢查數(shù)據(jù)據(jù)流中的每個(gè)數(shù)據(jù)包，根據(jù)數(shù)據(jù)包的原地址、目標(biāo)地址、以及包所使用端口確定是否允許該類(lèi)數(shù)據(jù)包通過(guò)。在互聯(lián)網(wǎng)這樣的信息包交換網(wǎng)絡(luò)上，所有往來(lái)的信息都被分割成許許多多一定長(zhǎng)度的信息報(bào)，包中包括發(fā)送者的IP地址和接受者的IP地址。當(dāng)這些包被送上互聯(lián)網(wǎng)時(shí)，路由器會(huì)讀取接受者的IP并選擇一條物理上的線路發(fā)送出去，信息包可能以不同的路線抵達(dá)目的地，當(dāng)所有的包抵達(dá)后會(huì)在目的地重新組裝還原。包過(guò)濾式的防火墻會(huì)檢查所有通過(guò)信息包里的IP地址，并按照系統(tǒng)管理員所給定的過(guò)濾規(guī)則過(guò)濾信息包。如果防火墻設(shè)定某一IP為危險(xiǎn)的話，從這個(gè)地址而來(lái)的所有信息都被會(huì)防火墻屏蔽掉。這種防火墻的用法很多，比如國(guó)家有關(guān)部門(mén)可以通過(guò)包過(guò)濾防火墻來(lái)禁止國(guó)家用戶去訪問(wèn)那些違反我國(guó)有關(guān)規(guī)定或者“有問(wèn)題”的國(guó)外站點(diǎn)，包過(guò)濾路由器的最優(yōu)優(yōu)點(diǎn)就是他對(duì)于用戶來(lái)說(shuō)是透明的，也就是說(shuō)不需要用戶名和密碼來(lái)登陸。這種防火墻速度快而且易于維護(hù)，通常作為第一道防線。包過(guò)濾路由器的弊端也是很明顯的，通常它沒(méi)有用戶的使用記錄，這樣我們就不能從訪問(wèn)記錄中發(fā)現(xiàn)黑客的攻擊記錄，而攻擊一個(gè)單純的包過(guò)濾式的防火墻對(duì)于黑客來(lái)說(shuō)是比較容易的，他們?cè)谶@一方面已經(jīng)積了大量的經(jīng)驗(yàn)。“信息包沖擊”是黑客比較常用的一種攻擊手段，黑客們對(duì)包過(guò)濾式防火墻發(fā)出一系列信息包，不過(guò)這些包中的IP地址已經(jīng)被替換掉了，取而代之的是一串順序的IP地址。一旦有一個(gè)包通過(guò)了防火墻，黑客便可以用這個(gè)IP地址來(lái)偽裝他們發(fā)出的信息。在另一些情況下黑客們使用一種他們自己編織的路由器攻擊程序，這種程序使用路由器歇息來(lái)發(fā)送偽造的路由器信息，這樣所有的都會(huì)被重新路由到一個(gè)入侵者所指定的特別抵制。對(duì)付這種路由器的另一種技術(shù)被稱(chēng)之為“同步淹沒(méi)”，這實(shí)際上是一種網(wǎng)絡(luò)炸彈。攻擊者向被攻擊的計(jì)算機(jī)發(fā)出許許多多個(gè)虛假的“同步請(qǐng)求”信號(hào)報(bào)，當(dāng)服務(wù)器相應(yīng)了這種信號(hào)報(bào)后會(huì)等待請(qǐng)求發(fā)出者的回答，而攻擊者不做任何的相應(yīng)。如果服務(wù)器在45秒鐘里沒(méi)有收到反應(yīng)信號(hào)的話就會(huì)取消掉這次的請(qǐng)求。但是當(dāng)服務(wù)器在處理成千上萬(wàn)各虛假請(qǐng)求時(shí)，它便沒(méi)有時(shí)間來(lái)處理正常的用戶請(qǐng)求，處于這種攻擊下的服務(wù)器和死鎖沒(méi)什么兩樣。此種防火墻的缺點(diǎn)是很明顯的，通常它沒(méi)有用戶的使用記錄，這樣我們就不能從訪問(wèn)記錄中發(fā)現(xiàn)黑客的攻擊記錄。此外，配置繁瑣也是包過(guò)濾防火墻的一個(gè)缺點(diǎn)。它阻擋別人進(jìn)入內(nèi)部網(wǎng)絡(luò)，但也不告訴你何人進(jìn)入你的系統(tǒng)，或者何人從內(nèi)部進(jìn)入網(wǎng)際網(wǎng)路。它可以組織外部對(duì)私有網(wǎng)絡(luò)的訪問(wèn)，卻不能記錄內(nèi)部的訪問(wèn)。包過(guò)濾另一個(gè)關(guān)鍵的弱點(diǎn)就是不能再用戶級(jí)別上進(jìn)行過(guò)濾，即不能鑒別不同的用戶和防止IP地址盜用。包過(guò)濾防火墻什么某種意義上的絕對(duì)安全的系統(tǒng)。

　　2、應(yīng)用網(wǎng)關(guān)防火墻

　　應(yīng)用網(wǎng)關(guān)防火墻檢查所有應(yīng)用層的信息包，并將檢查的內(nèi)容信息放入決策過(guò)程，從而提高網(wǎng)絡(luò)的安全性。然而，應(yīng)用網(wǎng)關(guān)防火墻是通過(guò)打破客戶機(jī)/服務(wù)器模式實(shí)現(xiàn)的。每個(gè)客戶機(jī)/服務(wù)器通信需要兩個(gè)鏈接：一個(gè)是從客戶端到防火墻，另一個(gè)是從防火墻到服務(wù)器。另外，每個(gè)代理需要一個(gè)不同的應(yīng)用進(jìn)程，或一個(gè)后臺(tái)運(yùn)行的服務(wù)程序，對(duì)每個(gè)新的應(yīng)用必須添加對(duì)此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。所以，應(yīng)用網(wǎng)關(guān)防火墻具有可伸縮性差的缺點(diǎn)。

　　3、狀態(tài)監(jiān)測(cè)防火墻

　　狀態(tài)監(jiān)測(cè)防火墻基本保持了簡(jiǎn)單包過(guò)濾防火墻的優(yōu)點(diǎn)，性能比較好，同時(shí)對(duì)應(yīng)用是透明的，在此基礎(chǔ)上，對(duì)于安全性有了大幅提升。這種防火墻摒棄了簡(jiǎn)單包過(guò)濾防火墻僅僅考察進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)包，不關(guān)心數(shù)據(jù)包狀態(tài)的缺點(diǎn)，在防火墻的核心部分建立狀態(tài)連接表，維護(hù)了連接，將進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)當(dāng)成一個(gè)個(gè)的事件來(lái)處理?？梢院完?yáng)朔，狀態(tài)檢測(cè)包過(guò)濾防火墻規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理型防火墻則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。

　　4、復(fù)合型防火墻

　　復(fù)合型防火墻是指綜合了狀態(tài)檢測(cè)與透明代理的新一代的防火墻，進(jìn)一步基于ASIC架構(gòu)，把防病毒、內(nèi)容過(guò)濾整合到防火墻里，其中還包裹、IDS功能，多單元融為一體，是一種新突破。常規(guī)的防火墻并不能防止隱蔽在網(wǎng)絡(luò)流量里的攻擊，在網(wǎng)絡(luò)界面對(duì)應(yīng)用層掃描，把防病毒、內(nèi)容過(guò)濾與防火墻結(jié)合起來(lái)，這體現(xiàn)了網(wǎng)絡(luò)與信息安全的新思路。它在網(wǎng)絡(luò)邊界實(shí)施OSI第七層的內(nèi)容掃描，實(shí)現(xiàn)了實(shí)時(shí)在網(wǎng)絡(luò)邊緣部署病毒防護(hù)、內(nèi)容過(guò)濾等應(yīng)用層服務(wù)措施。

　　防火墻的典型應(yīng)用：

　　1、防止網(wǎng)絡(luò)入侵

　　2、防止消息文件泄露

　　3、保護(hù)內(nèi)網(wǎng)安全

　　4、檢查出入網(wǎng)絡(luò)的鏈接，保護(hù)一些端口

　　5、防止計(jì)算機(jī)接收到非法包