状态检测防火墙

　　 一、当前防火墙技术分类 　　防火墙技术经历了包过滤、应用代理网关、再到状态 检测 三个阶段。 　　1.1 包过滤技术 　　包过滤防火墙工作在网络层，对数据包的源及目地IP具有识别和控制作用，对于传输层，也只能识别数据包是TCP还是UDP及所用的端口信息，如下图所示。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。 　　由于只对数据包的IP地址、TCP/UDP协议和端口进行分析，包过滤防火墙的处理速度较快，并且易于配置。 　　包过滤防火墙具有根本的缺陷： 　　1．不能防范黑客攻击。包过滤防火墙的工作基于一个前提，就是网管 知道 哪些IP是可信网络，哪些是不可信网络的IP地址。但是随着远程办公等新应用的出现，网管不可能区分出可信网络与不可信网络的界限，对于黑客来说，只需将源IP包改成合法IP即可轻松通过包过滤防火墙，进入内网，而任何一个初级水平的黑客都能进行IP地址欺骗。 　　2．不支持应用层协议。假如内网用户提出这样一个需求，只允许内网员工访问外网的网页（使用HTTP协议），不允许去外网下载电影（一般使用FTP协议）。包过滤防火墙无能为力，因为它不认识数据包中的应用层协议，访问控制粒度太粗糙。 　　3．不能处理新的安全威胁。它不能跟踪TCP状态，所以对TCP层的控制有漏洞。如当它配置了仅允许从内到外的TCP访问时

防火墙基本定义 防火墙本身需要具有较高的抗攻击能力，应设置于系统和网络协议的底层，访问与被访问的端口必须设置严格的访问规则，以切断一切规则以外的网络连接。其次，在建筑学上，建筑物的防火安全性，是由各相关专业和相应设备共同保证的。而在计算机系统上，防火墙的安全防护性能是由防火墙、用户设置的规则和计算机系统本身共同保证的。 防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。 功能: 入侵检测功能 网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。 网络地址转换功能 利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。 网络操作的审计监控功能