【正文】 護就毫無意義，而包過濾產(chǎn)品則很容易安裝到用戶所需要控制的網(wǎng)絡(luò)節(jié)點上，對用戶的應(yīng)用系統(tǒng)則幾乎沒有影響。 Table，從其名稱就可以看出，它在進行過濾時建立了一個用來記錄狀態(tài)信息的Table，已經(jīng)具備了狀態(tài)檢測技術(shù)的基本特征。一些有較強技術(shù)能力的網(wǎng)絡(luò)管理人員喜歡利用這樣的軟件自己配置成防火墻。同時由于一系列優(yōu)化技術(shù)的采用，狀態(tài)檢測包過濾的性能也明顯優(yōu)于簡單包過濾產(chǎn)品，尤其是在一些規(guī)則復(fù)雜的大型網(wǎng)絡(luò)上。狀態(tài)檢測的包過濾利用狀態(tài)表跟蹤每一個網(wǎng)絡(luò)會話的狀態(tài)，對每一個包的檢查不僅根據(jù)規(guī)則表，更考慮了數(shù)據(jù)包是否符合會話所處的狀態(tài)。由于這類技術(shù)不能跟蹤TCP的狀態(tài)，所以對TCP層的控制是有漏洞的，比如當你在這樣的產(chǎn)品上配置了僅允許從內(nèi)到外的TCP訪問時，一些以TCP應(yīng)答包的形式進行的攻擊仍然可以從外部通過防火墻對內(nèi)部的系統(tǒng)進行攻擊。包過濾是歷史最久遠的防火墻技術(shù)，從實現(xiàn)上分，又可以分為簡單包過濾和狀態(tài)檢測的包過濾兩種。防火墻的基本結(jié)構(gòu)可以分為包過濾和應(yīng)用代理兩種。在選擇防火墻防火墻時，我們首先考慮的就是需要一個什么結(jié)構(gòu)的產(chǎn)品，防火墻發(fā)展到今天，很多產(chǎn)品已經(jīng)越來越象是一個網(wǎng)絡(luò)安全的工具箱，工具的多少固然很重要，但系統(tǒng)的結(jié)構(gòu)卻是一個起決定性作用的前提。防火墻可以是硬件型的，所有數(shù)據(jù)都首先通過硬件芯片監(jiān)測，也可以是軟件類型，軟件在電腦上運行并監(jiān)控，其實硬件型也就是芯片里固化了的軟件，但是它不占用計算機CPU處理時間，可以功能作的非常強大處理速度很快，對于個人用戶來說軟件型更加方便實在。最終將會是一種在數(shù)據(jù)通過時進行記錄和檢查的快速分組篩選系統(tǒng)。未來的防火墻將處于應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻之間。另一個重要的不同于許多網(wǎng)絡(luò)層防火墻的是它們可使流量直接通過，因此在使用時，你需要一個有效分配的IP地址塊，或者是專用網(wǎng)絡(luò)地址塊。一個簡單的路由器就是一個傳統(tǒng)意義上的網(wǎng)絡(luò)層防火墻，因為它不能做出復(fù)雜的判斷，如數(shù)據(jù)包的發(fā)送目標和來源。與網(wǎng)絡(luò)層防火墻相比，應(yīng)用層防火墻趨于提供更細化的審計報告，實行更保守的安全模型。早期的應(yīng)用層防火墻對終端用戶不是特別透明，并且還可能需要進行一些培訓(xùn)。應(yīng)用層防火墻可用于網(wǎng)絡(luò)地址轉(zhuǎn)換，是因為在應(yīng)用程序有效地偽裝初始連接的來源之后流量可以從一邊進入，另一邊出去。1應(yīng)用層防火墻應(yīng)用層防火墻通常是代理服務(wù)器運行的主機，它不允許網(wǎng)絡(luò)之間直接的流量，并在流量通過時做詳細的記錄和檢查。國際標準化組織（ISO）開放系統(tǒng)互聯(lián)(OSI)模型把網(wǎng)絡(luò)分成七層，每一層都為上一層服務(wù)。從理論上說，有兩種類型的防火墻：應(yīng)用層防火墻和網(wǎng)絡(luò)層防火墻它們的區(qū)別可能與你所想的不一致。防火墻提供了一個重要的記錄和審計功能；它們經(jīng)常為管理員提供關(guān)于已處理過的流量類型和數(shù)值的摘要。更復(fù)雜的防火墻能夠阻止從外部到內(nèi)部的流量，但允許內(nèi)網(wǎng)用戶更自由的與外部交流。一般來說，配置防火墻是為了防止外部無權(quán)限的交互式登錄。防火墻常常被用于阻止非法的互聯(lián)網(wǎng)用戶訪問接入互聯(lián)網(wǎng)的專用網(wǎng)絡(luò)。它是提供信息安全服務(wù)，實現(xiàn)網(wǎng)絡(luò)和信息安全的基礎(chǔ)設(shè)施。防火墻是為防止非法訪問或保護專用網(wǎng)絡(luò)而設(shè)計的一種系統(tǒng)。4防火墻的簡介與體系結(jié)構(gòu) 一個防火墻（作為阻塞點控制點）能極大地提高一個內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風險。防火墻將會更加的行業(yè)化。防火墻將會集成更多的網(wǎng)絡(luò)安全功能，入侵檢測防病毒防御拒絕服務(wù)攻擊等安全技術(shù)都可以模塊形式安裝到防火墻的機箱內(nèi)。實現(xiàn)高速防火墻，可以應(yīng)用ASIC硬件加速技術(shù)FPGA和網(wǎng)絡(luò)處理器等方法。盡管羅列了這么多防火墻技術(shù)的局限性，但防火墻在網(wǎng)絡(luò)安全中所扮演的重要角色是不可撼動的。指在公共網(wǎng)絡(luò)中建立專用網(wǎng)絡(luò)，數(shù)據(jù)通過安全的“加密通道”在公共網(wǎng)絡(luò)中傳播。5檢測后門木馬及其網(wǎng)絡(luò)蠕蟲。第四階段： Gateway Inter——face的簡稱。這就為互聯(lián)網(wǎng)用戶創(chuàng)造了一種虛擬社區(qū)的感覺，逐漸形成了 “地球村”的概念。群件的主要功能就是將現(xiàn)有的非電子方法“嫁接”到電子平臺上去，以提高業(yè)務(wù)流程的效率。20世紀80年代晚期到90年代早期，電子報文傳送技術(shù)成為工作流技術(shù)或協(xié)作計算系統(tǒng)(也稱為群件)中不可分割的部分。電子數(shù)據(jù)交換(EDI)使企業(yè)能夠用標準化的電子格式與供應(yīng)商之間交換 商業(yè)單證(如訂單）。第二階段：電子報文傳送技術(shù)從20世紀70年代后期到80年代早期，電子商務(wù)以電子報文傳送技術(shù)(如電子數(shù)據(jù)交換 EDI)的形式在企業(yè)內(nèi)部得到推廣。電子資金轉(zhuǎn)賬是指通過企業(yè)間通訊網(wǎng)絡(luò)進行的賬戶交易信息的電子傳輸，由于它以電子方式提供匯款信息，從而使電子結(jié)算實現(xiàn)了最優(yōu)化。信息技術(shù)（Information Technology，簡稱為IT）是指20世紀后半葉發(fā)展起來的兩項電子技術(shù)，即集成電路技術(shù)和數(shù)據(jù)網(wǎng)絡(luò)通信技術(shù)，為電子商務(wù)的發(fā)展奠定了技術(shù)基礎(chǔ)。眼下，電子商務(wù)的含義已不僅僅是單純的電子購物，電子商務(wù)以數(shù)據(jù)（包括文本聲音和圖像）的電子處理和傳輸為基礎(chǔ)，包含了許多不同的活動（如商品服務(wù)的電子貿(mào)易數(shù)字內(nèi)容的在線傳輸電子轉(zhuǎn)賬商品拍賣協(xié)作在線資源利用消費品營銷和售后服務(wù)）。而是通過網(wǎng)絡(luò)，通過網(wǎng)上琳瑯滿目的商品信息完善的物流配送系統(tǒng)和方便安全的資金結(jié)算系統(tǒng)進行交易(買賣)。是指利用計算機技術(shù)網(wǎng)絡(luò)技術(shù)和遠程通信技術(shù)，實現(xiàn)整個商務(wù)(買賣)過程中的電子化數(shù)字化和網(wǎng)絡(luò)化。六、結(jié)論隨著電子商務(wù)的不斷發(fā)展，安全是保證電子商務(wù)健康有序發(fā)展的關(guān)鍵因素，防火墻技術(shù)必將在網(wǎng)絡(luò)安全方面著發(fā)揮更加重要的作用和價值。即使安裝好了防火墻,如果沒有實際的外部入侵,也無從得知產(chǎn)品性能的優(yōu)劣。防火墻產(chǎn)品最難評估的方面是防火墻的安全性能,即防火墻是否能夠有效地阻擋外部入侵。這樣不僅能夠保護用戶的投資,對提供防火墻產(chǎn)品的廠商來說,也擴大了產(chǎn)品覆蓋面。如果早期購置的防火墻沒有可擴充性,或擴充成本極高,這便是對投資的浪費。在網(wǎng)絡(luò)系統(tǒng)建設(shè)的初期,由于內(nèi)部信息系統(tǒng)的規(guī)模較小,遭受攻擊造成的損失也較小,因此沒有必要購置過于復(fù)雜和昂貴的防火墻產(chǎn)品。一家優(yōu)秀秀的安全產(chǎn)品供應(yīng)商必須為其用戶提供良好的培訓(xùn)和售后服務(wù)。我們已經(jīng)談到,在計算防火墻的成本時,不能只簡單地計算購置成本,還必須考慮其總擁有成本。（3）管理與培訓(xùn)。其二是使用不當。通常,防火墻的安全性問題來自兩個方面:其一是防火墻本身的設(shè)計是否合理,這類問題一般用戶根本無從入手,只有通過權(quán)威認證機構(gòu)的全面測試才能確定。作為信息系統(tǒng)安全產(chǎn)品,防火墻本身也應(yīng)該保證安全,不給外部侵入者以可乘之機。如果僅做粗略估算,非關(guān)鍵部門的防火墻購置成本不應(yīng)該超過網(wǎng)絡(luò)系統(tǒng)的建設(shè)總成本,關(guān)鍵部門則應(yīng)另當別論。以一個非關(guān)鍵部門的網(wǎng)絡(luò)系統(tǒng)為例,假如其系統(tǒng)中的所有信息及所支持應(yīng)用的總價值為10萬元,則該部門所配備防火墻的總成本也不應(yīng)該超過10萬元。安裝防火墻的基本原則是:只要有惡意侵入的可能,無論是內(nèi)部網(wǎng)絡(luò)還是與外部公網(wǎng)的連接處,都應(yīng)該安裝防火墻。其次,如果公司內(nèi)部網(wǎng)絡(luò)規(guī)模較大,并且設(shè)置有虛擬局域網(wǎng)(VLAN),則應(yīng)該在各個VLAN之間設(shè)置防火墻。（二）、防火墻的選擇網(wǎng)絡(luò)防火墻技術(shù)的作為內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的第一道安全屏障，是最先受到人們重視的網(wǎng)絡(luò)安全技術(shù)，就其產(chǎn)品的主流趨勢而言，大多數(shù)代理服務(wù)器（也稱應(yīng)用網(wǎng)關(guān)）也集成了包濾技術(shù)，這兩種技術(shù)的混合應(yīng)用顯然比單獨使用更具有大的優(yōu)勢。例如,它可以過濾掉FTP連接中的PUT命令,而且通過代理應(yīng)用,應(yīng)用網(wǎng)關(guān)能夠有效地避免內(nèi)部網(wǎng)絡(luò)的信息外泄。實際上,作為當前防火墻產(chǎn)品的主流趨勢,大多數(shù)代理服務(wù)器(也稱應(yīng)用網(wǎng)關(guān))也集成了包過濾技術(shù),這兩種技術(shù)的混合應(yīng)用顯然比單獨使用具有更大的優(yōu)勢?；趯ο到y(tǒng)成本與安全技術(shù)成本的綜合考慮,用戶可以選擇性地使用某些監(jiān)測型技術(shù)。據(jù)權(quán)威機構(gòu)統(tǒng)計,在針對網(wǎng)絡(luò)系統(tǒng)的攻擊中,有相當比例的攻擊來自網(wǎng)絡(luò)內(nèi)部。監(jiān)測型防火墻能夠?qū)Ω鲗拥臄?shù)據(jù)進行主動的、實時的監(jiān)測,在對這些數(shù)據(jù)加以分析的基礎(chǔ)上,監(jiān)測型防火墻能夠有效地判斷出各層中的非法侵入。其缺點是對系統(tǒng)的整體性能有較大的影響,而且代理服務(wù)器必須針對客戶機可能產(chǎn)生的所有應(yīng)用類型逐一進行設(shè)置,大大增加了系統(tǒng)管理的復(fù)雜性。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道,外部的惡意侵害也就很難傷害到企業(yè)內(nèi)部網(wǎng)絡(luò)系統(tǒng)。而從服務(wù)器來看,代理服務(wù)器又是一臺真正的客戶機。代理服務(wù)器位于客戶機與服務(wù)器之間,完全阻擋了二者間的數(shù)據(jù)交流。網(wǎng)絡(luò)地址轉(zhuǎn)換的過程對于用戶來說是透明的，不需要用戶進行設(shè)置，用戶只要進行常規(guī)操作即可。當符合規(guī)則時，防火墻認為訪問是安全的，可以接受訪問請求，也可以將連接請求映射到不同的內(nèi)部計算機中。在外部網(wǎng)絡(luò)通過非安全網(wǎng)卡訪問內(nèi)部網(wǎng)絡(luò)時，它并不知道內(nèi)部網(wǎng)絡(luò)的連接情況，而只是通過一個開放的IP地址和端口來請求訪問。在內(nèi)部網(wǎng)絡(luò)通過安全網(wǎng)卡訪問外部網(wǎng)絡(luò)時，將產(chǎn)生一個映射記錄。它允許具有私有IP地址的內(nèi)部網(wǎng)絡(luò)訪問因特網(wǎng)。有經(jīng)驗的黑客很容易偽造IP地址,騙過包過濾型防火墻。但包過濾技術(shù)的缺陷也是明顯的。系統(tǒng)管理員也可以根據(jù)實際情況靈活制訂判斷規(guī)則。網(wǎng)絡(luò)上的數(shù)據(jù)都是以“包”為單位進行傳輸?shù)?數(shù)據(jù)被分割成為一定大小的數(shù)據(jù)包,每一個數(shù)據(jù)包中都會包含一些特定信息,如數(shù)據(jù)的源地址、目標地址、TCP/UDP源端口和目標端口等。五、防火墻常用技術(shù)和性能（一）、防火墻的四種基本類型根據(jù)防火墻所采用的技術(shù)不同,我們可以將它分為四種基本類型:包過濾型、網(wǎng)絡(luò)地址轉(zhuǎn)換—NAT、代理型和監(jiān)測型。但是防火墻本身的核心技術(shù)的進步卻從來沒有停止過，事實上，任何一個安全產(chǎn)品或技術(shù)都不能提供永遠的安全，因為網(wǎng)絡(luò)在變化，應(yīng)用在變化，入侵的手段在變化?！傲鬟^濾”的另一個優(yōu)勢在于性能，完全為轉(zhuǎn)發(fā)目的而重新實現(xiàn)的TCP協(xié)議棧相對于以自身服務(wù)為目的的操作系統(tǒng)中的TCP協(xié)議棧來說，消耗資源更少而且更加高效，如果你需要一個能夠支持幾千個，甚至數(shù)萬個并發(fā)訪問，同時又有相當于代理技術(shù)的應(yīng)用層防護能力的系統(tǒng)，“流過濾”結(jié)構(gòu)幾乎是唯一的選擇。我們在NetEye防火墻中以狀態(tài)檢測包過濾為基礎(chǔ)實現(xiàn)了一種我們暫時稱之為“流過濾”的結(jié)構(gòu)，其基本的原理是在防火墻外部仍然是包過濾的形態(tài)，工作在鏈路層或IP層，在規(guī)則允許下，兩端可以直接的訪問，但是對于任何一個被規(guī)則允許的訪問在防火墻內(nèi)部都存在兩個完全獨立的TCP會話，數(shù)據(jù)是以“流”的方式從一個會話流向另一個會話，由于防火墻的應(yīng)用層策略位于流的中間，因此可以在任何時候代替服務(wù)器或客戶端參與應(yīng)用層的會話，從而起到了與應(yīng)用代理防火墻相同的控制能力。由于很難將這兩者的安全策略結(jié)合在一起，所以混合型的產(chǎn)品通常更難于配置，也很難真正的結(jié)合兩者的長處。代理防火墻的技術(shù)發(fā)展遠沒有包過濾技術(shù)活躍，比較一下幾年以前的TIS和現(xiàn)在的代理類型的商用產(chǎn)品，在核心技術(shù)上幾乎沒有什么變化，變化的主要是增加了協(xié)議的種類。這使得應(yīng)用代理防火墻的性能通常很難超過45Mbps的轉(zhuǎn)發(fā)速率和1000個并發(fā)訪問。代理的另一個無法回避的缺陷是性能很差。代理防火墻通常是一組代理的集合，需要為每一個支持的應(yīng)用協(xié)議實現(xiàn)專門的功能，所以對于使用代理防火墻的用戶來說經(jīng)常遇到的問題是防火墻是不支持某個正在使用的應(yīng)用協(xié)議，要么放棄防火墻，要么放棄應(yīng)用。代理技術(shù)的一個主要的弱點是缺乏對應(yīng)用的透明性，這個缺陷幾乎可以說是天生的，因為它只有位于應(yīng)用會話的中間環(huán)節(jié)，才會對會話進行控制，而幾乎所有的應(yīng)用協(xié)議在設(shè)計時都不認為中間應(yīng)該有一個防火墻存在?？梢赃@樣說，狀態(tài)檢測包過濾規(guī)范了網(wǎng)絡(luò)層和傳輸層行為，而應(yīng)用代理則是規(guī)范了特定的應(yīng)用協(xié)議上的行為。代理的原理是徹底隔斷兩端的直接通信，所有通信都必須經(jīng)應(yīng)用層的代理轉(zhuǎn)發(fā)，訪問者任何時候都不能直接與服務(wù)器建立直接的TCP連接，應(yīng)用層的協(xié)議會話過程必須符合代理的安全策略的要求。應(yīng)用代理防火墻可以說就是為防范應(yīng)用層攻擊而設(shè)計的。但是對于防火墻產(chǎn)品來說，畢竟安全是首要的因素，包過濾防火墻對于網(wǎng)絡(luò)控制的依據(jù)仍然是IP地址和服務(wù)端口等基本的傳輸層以下的信息。特別是近來出現(xiàn)的透明方式的包過濾防火墻，由于采用了網(wǎng)橋技術(shù)，幾乎可以部署在任何的以太網(wǎng)線路上，而完全不需要改動原來的拓撲結(jié)構(gòu)。包過濾結(jié)構(gòu)的最大的優(yōu)點是部署容易，對應(yīng)用透明。但是從實現(xiàn)的原理上分析，雖然它們提供了對TCP狀態(tài)位的檢查，但是由于沒有跟蹤TCP的狀態(tài)，所以仍然是簡單包過濾。順便提一下免費軟件中的包過濾技術(shù)，比較典型的是OpenBSD 和Linux中的IP Filter和IP Chains。因而提供了更完整的對傳輸層的控制能力。簡單包過濾的產(chǎn)品由于其保護的不完善，在99年以前國外的防火墻市場上就已經(jīng)不存在了，但是目前國內(nèi)研制的產(chǎn)品仍然有很多采用的是這種簡單包過濾的技術(shù)，從這點上可以說，國內(nèi)產(chǎn)品的平均技術(shù)水準至少比國外落后2到3年。簡單包過濾是對單個包的檢查，目前絕大多數(shù)路由器產(chǎn)品都提供這樣的功能，所以如果你已經(jīng)有邊界路由器，那么完全沒有必要購買一個簡單包過濾的防火墻產(chǎn)品。包過濾技術(shù)關(guān)注的是網(wǎng)絡(luò)層和傳輸層的保護，而應(yīng)用代理則更關(guān)心應(yīng)用層的保護。因為防火墻的結(jié)構(gòu)決定了這些工具的組合能力，決定了當你在某種場合需要一個系統(tǒng)聲稱提供的功能的時候是不是真的能夠用得上。（二）、防火墻的體系結(jié)構(gòu)防火墻對于企業(yè)網(wǎng)絡(luò)的防御系統(tǒng)來說，是一個不可缺少的基礎(chǔ)設(shè)施。在邏輯上，防火墻是一個分離器，一個限制器，也是一個分析器，有效地監(jiān)控了內(nèi)部網(wǎng)和Internet之間的任何活動，保證了內(nèi)部網(wǎng)絡(luò)的安全。網(wǎng)絡(luò)層防火墻可能會逐漸意識到經(jīng)過它們的信息，應(yīng)用層防火墻可能會變得越來越透明。網(wǎng)絡(luò)層防火墻的發(fā)展很迅速，對于用戶來說幾乎是透明的?，F(xiàn)代的網(wǎng)絡(luò)層防火墻變得更復(fù)雜得多，并且會隨時關(guān)注通過防火墻的連接狀態(tài)的信息。（2）網(wǎng)絡(luò)層防火墻這種類型決定了它的判定一般是基于源地址、目的地址及獨立IP包中的端口。然而，許多現(xiàn)代應(yīng)用層防火墻是完全透明的。在某些情況下，有一個應(yīng)用程序的方式可能會影響防火墻的性能，并可能會使防火墻降低透明度。由于代理應(yīng)用程序只是防火墻上運行的軟件，所以可在這做大量的記錄和訪問控制。更重要的是要認識到轉(zhuǎn)發(fā)機制所在的層次越低，防火墻的檢查就越少。二者的區(qū)別取決于防火墻使用的使流量從一個安全區(qū)到另一個安全區(qū)所采用的機制。這是個非常重要的“點”，因為阻止點在網(wǎng)絡(luò)中的作用相當于警衛(wèi)保衛(wèi)財產(chǎn)。防火墻非常重要因為它可以提供單一的阻止點,在這一點上可以采取安全和審計措施。這有助于防止“黑客”從機器登錄到你的網(wǎng)絡(luò)。所有的數(shù)據(jù)在進入或離開內(nèi)部網(wǎng)絡(luò)時都要