三. 防火墻技術(shù)
傳統(tǒng)意義上的防火墻技術(shù)分為三大類，“包過濾”（Packet Filtering）、“應(yīng)用代理”（Application Proxy）和“狀態(tài)監(jiān)視”（Stateful Inspection），無論一個防火墻的實現(xiàn)過程多么復(fù)雜，歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進行功能擴展的 。
1.包過濾技術(shù)
包過濾是最早使用的一種防火墻技術(shù)，它的第一代模型是“靜態(tài)包過濾”（Static Packet Filtering），使用包過濾技術(shù)的防火墻通常工作在OSI模型中的網(wǎng)絡(luò)層（Network Layer）上，后來發(fā)展更新的“動態(tài)包過濾”（Dynamic Packet Filtering）增加了傳輸層（Transport Layer），簡而言之，包過濾技術(shù)工作的地方就是各種基于TCP/IP協(xié)議的數(shù)據(jù)報文進出的通道，它把這兩層作為數(shù)據(jù)監(jiān)控的對象，對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進行分析，并與預(yù)先設(shè)定好的防火墻過濾規(guī)則（Filtering Rule）進行核對，一旦發(fā)現(xiàn)某個包的某個或多個部分與過濾規(guī)則匹配并且條件為“阻止”的時候，這個包就會被丟棄 。適當?shù)脑O(shè)置過濾規(guī)則可以讓防火墻工作得更安全有效，但是這種技術(shù)只能根據(jù)預(yù)設(shè)的過濾規(guī)則進行判斷，一旦出現(xiàn)一個沒有在設(shè)計人員意料之中的有害數(shù)據(jù)包請求，整個防火墻的保護就相當于擺設(shè)了 。也許你會想，讓用戶自行添加不行嗎？但是別忘了，我們要為是普通計算機用戶考慮，并不是所有人都了解網(wǎng)絡(luò)協(xié)議的，如果防火墻工具出現(xiàn)了過濾遺漏問題，他們只能等著被入侵了 。一些公司采用定期從網(wǎng)絡(luò)升級過濾規(guī)則的方法，這個創(chuàng)意固然可以方便一部分家庭用戶，但是對相對比較專業(yè)的用戶而言，卻不見得就是好事，因為他們可能會有根據(jù)自己的機器環(huán)境設(shè)定和改動的規(guī)則，如果這個規(guī)則剛好和升級到的規(guī)則發(fā)生沖突，用戶就該郁悶了，而且如果兩條規(guī)則沖突了，防火墻該聽誰的，會不會當場“死給你看”（崩潰）？也許就因為考慮到這些因素，至今我沒見過有多少個產(chǎn)品會提供過濾規(guī)則更新功能的，這并不能和殺毒軟件的病毒特征庫升級原理相提并論 。為了解決這種魚與熊掌的問題，人們對包過濾技術(shù)進行了改進，這種改進后的技術(shù)稱為“動態(tài)包過濾”（市場上存在一種“基于狀態(tài)的包過濾防火墻”技術(shù)，即Stateful-based Packet Filtering，他們其實是同一類型），與它的前輩相比，動態(tài)包過濾功能在保持著原有靜態(tài)包過濾技術(shù)和過濾規(guī)則的基礎(chǔ)上，會對已經(jīng)成功與計算機連接的報文傳輸進行跟蹤，并且判斷該連接發(fā)送的數(shù)據(jù)包是否會對系統(tǒng)構(gòu)成威脅，一旦觸發(fā)其判斷機制，防火墻就會自動產(chǎn)生新的臨時過濾規(guī)則或者把已經(jīng)存在的過濾規(guī)則進行修改，從而阻止該有害數(shù)據(jù)的繼續(xù)傳輸，但是由于動態(tài)包過濾需要消耗額外的資源和時間來提取數(shù)據(jù)包內(nèi)容進行判斷處理，所以與靜態(tài)包過濾相比，它會降低運行效率，但是靜態(tài)包過濾已經(jīng)幾乎退出市場了，我們能選擇的，大部分也只有動態(tài)包過濾防火墻了 。
基于包過濾技術(shù)的防火墻，其缺點是很顯著的：它得以進行正常工作的一切依據(jù)都在于過濾規(guī)則的實施，但是偏又不能滿足建立精細規(guī)則的要求（規(guī)則數(shù)量和防火墻性能成反比），而且它只能工作于網(wǎng)絡(luò)層和傳輸層，并不能判斷高級協(xié)議里的數(shù)據(jù)是否有害，但是由于它廉價，容易實現(xiàn)，所以它依然服役在各種領(lǐng)域，在技術(shù)人員頻繁的設(shè)置下為我們工作著 。
2.應(yīng)用代理技術(shù)
由于包過濾技術(shù)無法提供完善的數(shù)據(jù)保護措施，而且一些特殊的報文攻擊僅僅使用過濾的方法并不能消除危害（如SYN攻擊、ICMP洪水等），因此人們需要一種更全面的防火墻保護技術(shù)，在這樣的需求背景下，采用“應(yīng)用代理”（Application Proxy）技術(shù)的防火墻誕生了 。我們的讀者還記得“代理”的概念嗎？代理服務(wù)器作為一個為用戶保密或者突破訪問限制的數(shù)據(jù)轉(zhuǎn)發(fā)通道，在網(wǎng)絡(luò)上應(yīng)用廣泛 。我們都知道，一個完整的代理設(shè)備包含一個服務(wù)端和客戶端，服務(wù)端接收來自用戶的請求，調(diào)用自身的客戶端模擬一個基于用戶請求的連接到目標服務(wù)器，再把目標服務(wù)器返回的數(shù)據(jù)轉(zhuǎn)發(fā)給用戶，完成一次代理工作過程 。那么，如果在一臺代理設(shè)備的服務(wù)端和客戶端之間連接一個過濾措施呢？這樣的思想便造就了“應(yīng)用代理”防火墻，這種防火墻實際上就是一臺小型的帶有數(shù)據(jù)檢測過濾功能的透明代理服務(wù)器（Transparent Proxy），但是它并不是單純的在一個代理設(shè)備中嵌入包過濾技術(shù)，而是一種被稱為“應(yīng)用協(xié)議分析”（Application Protocol Analysis）的新技術(shù) 。

推薦閱讀

• 

  江蘇志愿服務(wù)記錄證明出具條件一覽
• 

  山茶花的養(yǎng)殖方法，盆栽山茶花的養(yǎng)殖方法？
• 

  香蕉功效 香蕉的功效與作用
• 

  新農(nóng)合哪些人可以免繳費
• 

  流放者柯南解除手環(huán)方法介紹 流放者柯南怎么解除手環(huán)
• 

  epic方舟中文怎么調(diào)
• 

  茶花養(yǎng)多久才能開花
• 

  樓房頂層怎么隔熱
• 

  給你小心心是什么意思
• 

  查找Win10應(yīng)用程序安裝路徑的方法
• 

  從親閨密語內(nèi)衣開始,親閨蜜語內(nèi)衣什么價位
• 

  小編分享vivos10pro如何開啟藍牙。
• 

  東極初中作文
• 

  酒店房間之間空的是啥意思,為什么有的賓館一到凌晨
• 

  怎樣將中國傳統(tǒng)文化運用到網(wǎng)店中
• 

  為什么手機一直充電充不滿

• 危害網(wǎng)絡(luò)安全的群發(fā)郵件蠕蟲病毒
• 網(wǎng)絡(luò)安全入門的16個基本問題！
• 實用：網(wǎng)絡(luò)安全工作者的必殺技
• 在全民K歌里進行清唱基礎(chǔ)操作
• 網(wǎng)絡(luò)安全：三分技術(shù)加七分管理
• 360看點APP分享新聞資訊基礎(chǔ)操作
• 2006年上半年網(wǎng)絡(luò)安全形勢總結(jié)
• 適合基礎(chǔ)較差的高中物理教輔 高中物理基礎(chǔ)薄弱用什么教輔
• 安全：三星電信頁面驚現(xiàn)木馬
• 免費殺病毒 微軟推網(wǎng)絡(luò)安全中心