防火墙的概念及发展历史

文章出处：www.net1980.com

         在实际应用中，单一的安全防御技术并不足以构筑一个安全的网络安全体系，多种技术的综合应用才可以将安全风险控制在尽可能小的范围内。通常而言，安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线，以抵御来自外部的绝大多数***，完成这项任务的网络边防产品咱们称其为防火墙。

         相似于建筑大厦中用于防止火灾蔓延的隔断墙，Internet 防火墙是一个或一组实施访问控制策略的系统，它监控可信任网络（至关于内部网络）和不可信任网络（至关于外部网络）之间的访问通道，以防止外部网络的危险蔓延到内部网络上。防火墙主要服务于如下目的：
1）限制用户或信息由一个特定的被严格控制的站点进入；
2）阻止***者接近其余安全防护设施；
3）限制用户或信息由一个特定的被严格控制的站点离开。
         防火墙一般做用于被保护区域的入口处，基于访问控制策略提供安全防御。例如：当防火墙位于内部网络和外部网络的链接处时，能够保护组织内的网络和数据免遭来自外部网络的非法访问（未受权或未验证的访问）或恶意***；当防火墙位于组织内部相对开放的网段或比较敏感的网段（如保存敏感或专有数据的网络部分）的链接处时，能够根据须要过滤对敏感数据的访问（即便该访问是来自组织内部）。

 

防火墙发展历史

          防火墙技术的发展历史大体经历了如下几个过程。
一、第一代防火墙：包过滤防火墙
         包过滤指在网络层对每个数据包进行检查，根据配置的安全策略来转发或拒绝数据包。包过滤防火墙的基本原理是：经过配置ACL（Access Control List，访问控制列表）实施数据包的过滤。实施过滤主要是基于数据包中的源/目的IP 地址、源/目的端口号、IP 标识和报文传递的方向等信息。
         第一代防火墙的设计简单，很是易于实现，并且价格便宜，但其缺点不容忽视，主要表如今：
1）随着ACL 复杂度和长度的增长，其过滤性能成指数降低趋势；
2）静态的ACL 规则难以适应动态的安全要求；
3）包过滤不检查会话状态也不分析数据，即不能对用户级别进行过滤，这容易让***蒙混过关。例如，***者可使用假冒地址进行欺骗，经过把本身主机IP地址设成一个合法主机IP 地址，就能很轻易地经过报文过滤器。

 

二、第二代防火墙：代理防火墙
         代理服务做用于网络的应用层，其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求，认证经过后，该防火墙将表明客户与真正的服务器创建链接，转发客户请求，并将真正服务器返回的响应回送给客户。代理防火墙可以彻底控制网络信息的交换，控制会话过程，具备较高的安全性，但其缺点一样突出，主要表如今：
1）软件实现限制了处理速度，易于遭受拒绝服务***；
2）须要针对每一种协议开发应用层代理，升级很困难。

 

三、第三代防火墙：状态防火墙
         状态分析技术是包过滤技术的扩展（非正式的也可称为“动态包过滤”）。基于链接状态的包过滤在进行数据包的检查时，将每一个数据包当作是独立单元的同时，还要考虑先后报文的历史关联性。

 

         基本原理简述以下：
1）状态防火墙使用各类状态表来追踪激活的TCP（ Transmission ControlProtocol）会话和UDP（User Datagram Protocol）伪会话（在处理基于UDP协议包时为UDP 创建虚拟链接，以对UDP 链接过程进行状态监控的会话过程），由ACL 表来决定哪些会话容许创建，只有与被容许会话相关联的数据包才被转发。
2）状态防火墙在网络层截获数据包，而后从各应用层提取出安全策略所须要的状态信息，并保存到动态状态表中，经过分析这些状态表和与该数据包有关的后续链接请求来作出恰当决定。从外部网络向内看，状态防火墙更像一个代理系统（任何外部服务请求都来自于同一主机），而由内部网络向外看，状态防火墙则像一个包过滤系统（内部用户认为他们直接与外部网交互）。

         状态防火墙具备如下优势：
1）速度快。状态防火墙对数据包进行ACL 检查的同时，能够将包链接状态记录下来，后续包则无需再经过ACL 检查，只需根据状态表对新收到的报文进行链接记录检查便可。检查经过后，该链接状态记录将被刷新，从而避免重复检查具备相同链接状态的包。链接状态表里的记录能够随意排列，这点与记录固定排列的ACL 不一样，因而状态防火墙可采用诸如二叉树或哈希（hash）等算法进行快速搜索，提升了系统的传输效率。
2）安全性较高。链接状态清单是动态管理的，会话完成时防火墙上所建立的临时返回报文入口随即关闭，这保障了内部网络的实时安全。同时，状态防火墙采用实时链接状态监控技术，经过在状态表中识别诸如应答响应等链接状态因素，加强了系统的安全性。

原文连接：http://www.net1980.com/2010/05/07/firewallhistory/