网络安全防护技术之防火墙的主要技术

1)防火墙的主要技术

静态包过滤：根据数据包的源地址、目的地址、源端口号、目的端口号、数据的对话协议及数据包头中的各个标志位等因素，按照系统预先制定好的规则来决定对数据包的操作（丢弃、通过或转发）。包过滤技术逻辑简单、易于实现，处理速度快，但无法实现对应用层信息过滤处理，并且对于网络服务多、结构复杂的网络，包过滤规则配置复杂。

状态检测：状态检测也称动态包过滤，是对静态包过滤技术的功能扩展。状态检测技术通过维护一个记录着网络连接状态变化的状态表来自动生成或删除安全过滤规则。由于使用了状态表，状态检测防火墙可处理会话当前的状态属性、顺序号、应答标记等信息，因此能有效的抵御伪造回包等类型的攻击。状态检测技术的优势在于可根据会话信息决定过滤规则，因此能提供基于无连接的协议的应用（DNS等）及基于端口动态分配的协议的应用(如NFS、NIS)的安全支持，因此具有较高的安全性。然而由于需要检测更多内容，因此对性能提出了更高的要求。

应用代理：应用代理技术工作于应用层，起到外部网络向一内部网络或内部网络向外部网络申请服务时的转接作用。当外部网络向内部网络申请服务时，内部网络只接受代理提出的服务请求，拒绝外部网络其他节点的直接请求。应用级代理网关防火墙的优点包括可避免内外网主机的直接连接；提供比包过滤更详细的日志记录，如在一个HTTP连接中，包过滤只能记录单个的数据包，而应用网关还可以记录文件名、URL等信息；可以隐藏内部IP地址； 可以面向用户授权；可以为用户提供透明的加密机制；可以与认证、授权等安全手段方便地集成。应用代理技术的缺点包括处理速度比包过滤防火墙慢，对用户不透明，给用户的使用带来不便，而且这种代理技术需要针对每种协议设置一个不同的代理服务器。