网络防火墙的系统解决方案（2）

　　二、防火墙技术

　　一提到 网络安全人们首先想到的是防火墙。防火墙系统针对的是来自系统外部的攻击，一旦外部入侵者进入了系统，他们便不受任何阻挡。认证手段也与此类似，一旦入侵者骗过了认证系统，便成为了内部人员。

　　防火墙的基本类型有：包过滤型、代理服务型和状态包过滤型复合型。

　　（一）包过滤型防火墙

　　包过滤（Packet Filter）通常安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。包过滤是一种保安机制，它控制哪些数据包可以进出网络而哪些数据包应被网络所拒绝。

　　网络中的应用虽然很多，但其最终的传输单位都是以数据包的形式出现，这种做法主要是因为网络要为多个系统提供共享服务。例如，文件传输时，必须将文件分割为小的数据包，每个数据包单独传输。每个数据包中除了包含所要传输的数据（内容），还包括源地址、目标地址等。

　　数据包是通过互联网络中的路由器，从源网络到达目的网络的。路由器接收到的数据包就知道了该包要去往何处，然后路由器查询自身的路由表，若有去往目的的路由，则将该包发送到下一个路由器或直接发往下一个网段；否则，将该包丢掉。与路由器不同的是，包过滤防火墙，除了判断是否有到达目的网段的路由之外，还要根据一组包过滤规则决定是否将包转发出去。

　　1、工作机制

　　包过滤技术可以允许或禁止某些包在网络上传递，它依据的是以下的判断：

　　对包的目的地址作出判断

　　对包的源地址作出判断

　　对包的传送协议（端口号）作出判断

　　一般地，在进行包过滤判断时不关心包的具体内容。包过滤只能让我们进行类似以下情况的操作，比如：不让任何工作站从外部网用Telnet登录、允许任何工作站使用SMTP往内部网发电子邮件。

　　但包过滤不能允许我们进行如下的操作，如：允许用户使用FTP，同时还限制用户只可读取文件不可写入文件、允许某个用户使用Telnet登录而不允许其他用户进行这种操作。

　　包过滤系统处于网络的IP层和TCP层，而不是应用层，所以它无法在应用层的具体操作进行任何过滤。以FTP为例，FTP文件传输协议应用中包含许多具体的操作，如读取操作、写入操作、删除操作等。再有，包过滤系统不能识别数据包中的用户信息。

　　2、性能特点

　　因为包过滤防火墙工作在IP和TCP层，所以处理包的速度要比代理服务型防火墙快

　　提供透明的服务，用户不用改变客户端程序

　　因为只涉及到TCP层，所以与代理服务型防火墙相比，它提供的安全级别很低

　　不支持用户认证，包中只有来自哪台机器的信息却不包含来自哪个用户的信息

　　不提供日志功能

　　包过滤防火墙的典型代表是早期的CISCOPIX防火墙。