1.3 防火墙概述

“防火墙”（Fire Wall）的本意是指发生火灾时，用来防止火势蔓延的一道障碍物，一般都修筑在建筑物之间。而如今的网络防火墙则是指设置在计算机网络之间的一道隔离装置，可以隔离两个或者多个网络、限制网络互访，以保护内部网络用户和数据的安全。

1.3.1 网络防火墙的功能

事实上，网络防火墙更像是企事业单位的门卫制度。各单位借助围墙与外界隔离开来，所有进出人员都必须经过大门，而门卫将对所有人员进行监控和检查，从而保障财产不受损失、人员不受侵害。网络防火墙的作用恰恰也是将内部网络与外部网络分隔开来，对所有进入和外出内部网络的数据进行分析和监控，从而抵御外来非法用户的入侵，并保证内部的重要和敏感数据不致流失。另外，网络防火墙还具有隔离网段、提供代理服务、流量控制等功能，可以满足用户的各种需求。

网络防火墙的功能主要包括以下几个方面。

1. 隔离网络

网络防火墙最基本的功能就是隔离内、外网络，不仅要确保隔离非法用户入侵，更要保证不能使内部信息外泄。因此，网络防火墙通常位于路由器与内部网络（即局域网）之间，使所有进出局域网的数据都能进行过滤和筛选（如图1-10所示），从而避免来自外部（主要是Internet）的网络攻击和欺骗，确保内部网络正常、稳定的运行，以及内部的重要和敏感数据的访问安全。

除此之外，网络防火墙还被用于隔离内部网络，将一些重要（如总裁办公室、研发中心、网络服务器等）和敏感部门（如人力资源部、财务部等）与普通用户隔离开来，从而避免来自网络内部的恶意攻击，最大限度地保障网络安全，如图1-11所示。

2. 保障安全

网络防火墙的安全措施主要包括以下内容。

■ 整合安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如密码、加密、身份证、审计等）设置在防火墙上。这比将网络安全分散到每个主机上，管理更集中而且更经济。各种安全措施的有机结合，更能有效地对网络的安全性能起到加强作用。

■ 包过滤

内部网络和外部网络之间的所有网络数据流都必须经过防火墙，只有符合安全策略的数据流才能通过防火墙。包过滤是所有防火墙都具有的基本功能，从IP地址、端口判定控制，到判断通信报文协议头的各部分，以及通信协议的应用层命令、内容、用户认证、用户规则甚至状态检测等，都属于包过滤的重要内容。特别是状态监测技术，可以支持多种协议和应用程序，并可以很容易地实现应用层的扩充。

■ 绑定MAC地址

将MAC地址与IP地址绑定起来，主要用于防止受控（不可访问外网）的内部用户通过更换IP地址访问外网。因为更换IP地址实现起来太简单了，即使是粗通计算机的人员也能轻松操作，所以绝大多数防火墙都提供了该功能。

■ 流量分析控制

流量控制可以分为基于IP地址的控制和基于用户的控制。基于IP地址的控制是对通过防火墙各个网络接口的流量进行控制；基于用户的控制是通过用户登录来控制每个用户的流量，从而防止某些应用或用户占用过多的资源。并且通过流量控制可以保证重要用户和重要接口的连接。流量统计是建立在流量控制基础之上的。一般防火墙可以对IP、服务、时间、协议等进行统计，并可以与管理界面实现挂接，实时或者以统计报表的形式输出结果。

■ 审计报警机制

结合网络配置和安全策略对防火墙的相关数据分析完成以后，就要作出接受、拒绝、丢弃或加密等决定。如果要通过防火墙的数据违反了安全策略，审计和报警机制就会开始起作用，并记录和报告。审计是一种重要的安全措施，用以监控通信行为和完善安全策略，检查安全漏洞和错误配置。报警机制是在通信违反相关策略以后，以多种方式（如声音、邮件、电话、手机短信息等）及时报告给管理人员。

3. Internet共享

借助双向NAT技术，网络防火墙可以实现局域网的Internet连接共享，使用单一IP地址实现内部计算机对Internet的访问，并将内部服务器发布到Internet。

SNAT（Source Network Address Translation，源网络地址转换）用于对内部网络地址进行转换，将内部网络从Internet中隐藏起来，使得恶意用户对内部网络的攻击变得更加困难。DNAT（Destination Network Address Translation，目的网络地址转换）主要实现用于外网主机对内网和DMZ（Demilitarized Zone，隔离区，也称非军事化区）区主机的访问。是一种改变数据包目的IP地址的技术，经常和SNAT联用，以使多台服务器能共享一个IP地址连入Internet，并且继续服务。通过为同一个IP地址分配不同的端口来决定数据的流向，而且还可以将内部服务器发布到Internet。

1.3.2 防火墙的工作原理

虽然目前防火墙的基本结构多种多样，但是它们都可以归入包过滤和应用代理两类。其中，包过滤防火墙技术专注的是网络层和传输层，而应用代理防火墙则利用代理服务器，它关心的是应用层的保护。

1. 包过滤防火墙

包过滤防火墙又称作网络级防火墙，工作于OSI（Open System Interconnect，开放式系统互连）模型的网络层（即第4层），通过检查每个数据包的IP地址，采用通信协议和端口号等来判断是否允许放行。

防火墙将提取的内部状态信息与其连接状态表进行比较，如果符合其中的某一条规则，就允许数据通过；如果没有符合任何规则，就会使用默认规则进行处理（一般情况下，默认规则就是丢弃该包）。因此，只要定义欲禁止的应用程序所使用的TCP（Transmission Control Protocol，传输控制协议）或UDP（User Datagram Protocol，用户数据报协议）端口号，就能阻挡该应用程序或网络服务，不允许其建立特定的连接。

不过，对于那些使用动态端口的应用程序或网络服务而言，这种过滤方式就会发生一些问题。由于防火墙不知道哪些端口需要打开，而用户又必须使用该服务，这就不得不将所有可能用到的端口都打开，而这个范围可能会较大或非常大，从而给黑客以可乘之机。由此，某些防火墙采用动态包过滤技术，通过检查应用程序信息，判断哪些端口需要临时打开。当传输结束以后，这些端口又马上恢复为关闭状态。

网络级防火墙的优点是速度快、费用低、对用户透明。但是其缺点也很突出，即对网络的保护很有限，因为它只检查地址和端口。

2. 应用代理防火墙

应用代理防火墙又称为应用级网关，工作于OSI参考模型的应用层（即第7层）。该类防火墙类似于代理服务器，可以达到隐藏内部网络结构的作用。其工作过程如下：当客户机需要使用服务器上的数据时，首先将数据请求发给代理服务器，由代理服务器根据这一请求向服务器请求数据。然后再由代理服务器将返回的数据转给客户机。由于外部系统与内部服务器之间没有直接的数据通道，外部的攻击就难以进入到内部企业网。

采用应用代理防火墙有较好的访问控制。但是，当内部网络需要访问外部网络时，同样需要先向代理服务器发送请求。代理服务器根据收到的请求来访问外部网络，并将接收到的数据反馈到内部网络用户。所以，当内部网络用户较多时，经常会出现延迟和多次登录才能访问外部网络的问题。

可见，应用级防火墙的每一种协议都需要相应的代理软件支持，因此工作量大，且效率较低。令人欣慰的是，结合代理类型防火墙的安全性和包过滤防火墙高速度等优点的自适应代理技术应运而生，由自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter）组成，可以在不影响安全性的基础上，将代理型防火墙的性能提高10倍以上。只需设置服务类型、安全级别等信息，自适应代理就可以根据用户的配置信息，决定是由代理服务从应用层代理请求还是从网络层转发数据包。