防火牆的包過濾和狀態檢測

1. 靜態包過濾防火牆和狀態檢測防火牆有何區別

狀態檢測防火牆基於防火牆所維護的狀態表的內容轉發或拒絕數據包的傳送，比普內通的包過濾有容著更好的網路性能和安全性。普通包過濾防火牆使用的過濾規則集是靜態的。而採用狀態檢測技術的防火牆在運行過程中一直維護著一張狀態表，這張表記錄了從受保護網路發出的數據包的狀態信息，然後防火牆根據該表內容對返回受保護網路的數據包進行分析判斷，這樣，只有響應受保護網路請求的數據包才被放行。對用戶來說，狀態檢測不但能提高網路的性能，還能增強網路的安全性。
希望可以幫到你，謝謝！

2. 防火牆的核心技術有哪些

1.包過濾技術

包過濾技術是一種簡單、有效的安全控制技術，它工作在網路層，通過在網路間相互連接的設備上載入允許、禁止來自某些特定的源地址、目的地址、TCP埠號等規則，對通過設備的數據包進行檢查，限制數據包進出內部網路。

防火牆技術有哪些？防火牆的核心技術及最新防火牆技術

包過濾的最大優點是對用戶透明，傳輸性能高。但由於安全控制層次在網路層、傳輸層，安全控制的力度也只限於源地址、目的地址和埠號，因而只能進行較為初步的安全控制，對於惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。

2.應用代理技術

應用代理防火牆工作在OSI的第七層，它通過檢查所有應用層的信息包，並將檢查的內容信息放入決策過程，從而提高網路的安全性。

應用網關防火牆是通過打破客戶機／伺服器模式實現的。每個客戶機／伺服器通信需要兩個連接：一個是從客戶端到防火牆，另一個是從防火牆到伺服器。另外，每個代理需要一個不同的應用進程，或一個後台運行的服務程序，對每個新的應用必須添加針對此應用的服務程序，否則不能使用該服務。所以，應用網關防火牆具有可伸縮性差的缺點。

3.狀態檢測技術

狀態檢測防火牆工作在OSI的第二至四層，採用狀態檢測包過濾的技術，是傳統包過濾功能擴展而來。狀態檢測防火牆在網路層有一個檢查引擎截獲數據包並抽取出與應用層狀態有關的信息，並以此為依據決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案，同時具有較好的適應性和擴展性。狀態檢測防火牆一般也包括一些代理級的服務，它們提供附加的對特定應用程序數據內容的支持。

狀態檢測防火牆基本保持了簡單包過濾防火牆的優點，性能比較好，同時對應用是透明的，在此基礎上，對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網路的數據包，不關心數據包狀態的缺點，在防火牆的核心部分建立狀態連接表，維護了連接，將進出網路的數據當成一個個的事件來處理。主要特點是由於缺乏對應用層協議的深度檢測功能，無法徹底的識別數據包中大量的垃圾郵件、廣告以及木馬程序等等。

4.完全內容檢測技術

完全內容檢測技術防火牆綜合狀態檢測與應用代理技術，並在此基礎上進一步基於多層檢測架構，把防病毒、內容過濾、應用識別等功能整合到防火牆里，其中還包括IPS功能，多單元融為一體，在網路界面對應用層掃描，把防病毒、內容過濾與防火牆結合起來，這體現了網路與信息安全的新思路，(因此也被稱為「下一代防火牆技術」)。它在網路邊界實施OSI第七層的內容掃描，實現了實時在網路邊緣布署病毒防護、內容過濾等應用層服務措施。完全內容檢測技術防火牆可以檢查整個數據包內容，根據需要建立連接狀態表，網路層保護強，應用層控制細等優點，但由於功能集成度高，對產品硬體的要求比較高。

3. 防火牆基本技術

防火牆的基本技術
防火牆是在對網路的服務功能和拓撲結構詳細分析的基礎上，在被保護對象周圍通過的專用軟體、硬體以及

管理措施的綜合，對跨越網路邊界的信息進行監測、控制甚至修改的設施。目前使用的防火牆技術主要有包過濾

和代理服務技術等，用這些技術可以分別做成具有不同功能的防火牆部件。

⒈包過濾技術

包過濾(Packet Filtering)技術就是在網路的適當位置對數據包進行審查，審查的依據是系統內設置的過濾

邏輯——訪問控製表(Access Control table)。包過濾器逐一審查每份數據包並判斷它是否與包過濾規則相匹配。

過濾規則以順行處理數據包頭信息為基礎，即通過對IP包頭和TCP包頭或UDP包頭的檢查而實現。包過濾工作在網

絡層，故也稱網路防火牆。

在Internet技術中還使用內容過濾技術，擔任內容過濾的軟體有「黑名單」軟體、「白名單」軟體和內容選

擇平台(Platform for Internet Content Selection，PICS)。

「黑名單」軟體是第一代Internet內容過濾軟體，其工作原理是封鎖住不應檢索的網址。其中最有名的是(Cyber

NOT，它記錄了大約7000個網址。「白名單」軟體是第二代Internet內容過濾軟體，其工作原理是先封鎖全部網址，

然後只開放應檢索的網址。

PICS是由麻省理工學院計算機科學實驗室的Jim Miller教授開發的第三代Internet內容過濾軟體。它的主要工

作是對每一個網頁的內容進行分類，並根據內容加上標簽，同時由計算機軟體對網頁的標簽進行檢測，以限制對特

定內容網頁的檢索。

數據包過濾防火牆網路邏輯簡單、性能和透明性好，一般安裝在路由器上。路由器是內部網路與Internet連接

的必要設備是一種天然的防火牆，它可以決定對到來的數據包是否進行轉發。這種防火牆實現方式相當簡捷，效率

較高，在應用環境比較簡單的情況下，能夠以較小的代價在一定程度上保證系統的安全。

包過濾技術是一種完全基於網路層的安全技術，只能根據數據包的來源、目標和埠等網路信息進行判斷，無

法識別基於應用層的惡意侵入，如惡意的Java小程序以及電子郵件中附帶的病毒。有經驗的黑客很容易偽造IP地址，

騙過包過濾型防火牆，一旦突破防火牆，即可對主機上的軟體和配置漏洞進行攻擊。進一步說，由於數據包的源地址、

目標地址以及IP的埠號都在數據包的頭部，很有可能被竊聽或假冒；並且它缺乏用戶日誌(Log)和審計 (Audit)信

息，不具備登錄和報告性能，不能進行審核管理，因而過濾規則的完整性難以驗證，所以安全性較差。

⒉代理服務技術

⑴代理服務概述

代理伺服器(Proxy Server)是位於兩個網路(如Internet和Intranet)之間的一種常見伺服器，如果把網路防火牆

比做門衛，代理伺服器就好比是接待室。門衛只根據證件決定來訪者是否可以進入，而接待室在內部人員與來訪者之

間真正隔起一道屏障，它位於客戶機與伺服器之間，完全阻擋了二者間的數據交流。其特別之處就在於它的雙重角色，

從客戶機來看，它相當於一台真正的伺服器；而從伺服器來看，它又是一台真正的客戶機。當客戶機需要使用服務

器上的數據時，首先將數據請求發給代理伺服器，代理伺服器再根據這一請求向伺服器索取數據，然後再由代理服務

器將數據傳輸給客戶機。由於外部系統與內部伺服器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企

業內部網路系統。

代理服務技術可以運用於應用層，也可以運用於傳輸層。運用於應用層的代理服務與過濾路由器組合的防火牆，

被稱為應用層網關，它們是面對不同的應用的。運用於傳輸層的代理服務防火牆，實際上是TCP/UDP連接中繼服務。

⑵代理伺服器的工作原理

圖8-9所示表明了代理伺服器(應用網關)的工作原理。
①代理伺服器運行後，它的核心部件——應用代理程序啟動，並開始監聽某個應用埠(這個應用埠是由安全管

理員設定的)；

②外部客戶需要訪問內部伺服器時，發送請求到對應的應用埠；

③代理伺服器將請求轉發給內部伺服器；

④伺服器的應答也通過代理伺服器發給外部客戶。

一旦應用代理程序與伺服器之間的連接建立，也就在客戶與伺服器之間建立了一個虛連接，這個虛連接是由兩

條虛連接(客戶端到代理伺服器的客戶連接和代理伺服器到伺服器的伺服器連接)和代理伺服器(應用代理程序)的

中轉實現。

圖8-9代理伺服器工作原理

⑶應用代理程序

應用代理程序是代理伺服器的核心部件。對於應用網關來說，應用代理程序是根據不同的應用協議進行設計的，

根據所代理的應用協議，應用網關可以分為FTP網關、Telnet網關、Web網關等，它們各有對應的應用代理程序。

⑷代理伺服器的功能

①中轉數據。

②對傳輸的數據進行預處理常見的有地址過濾、關鍵字過濾和協議過濾。

③對中轉數據提供詳細的日誌和審計。

④節省IP地址。使用網路地址轉換服務(Network Address Translation，NAT)，可以屏蔽內部網路的IP地址，使所

有用戶對外只用一個IP地址，但這也給黑客留下了隱藏自己真實的IP地址，而逃避監視的隱患。

⑤節省網路資源。代理服務常常設置一個較大的硬碟存儲空間，用於存放通過的信息，當內部用戶再訪問相同的信

息時，就可以直接從緩沖區中讀取。

代理服務的隔離作用強，具有對過往的數據包進行分析監控、注冊登記、過濾、記錄和報告等功能，可以針對

應用層進行偵測和掃描，當發現被攻擊跡象時會向網路管理員發出警報，並能保留攻擊痕跡，因此，具有比包過濾

更強的防火牆功能。它的缺點是必須針對客戶機可能產生的所有應用類型逐一進行設置，大大增加了系統管理的復

雜性。

⒊堡壘主機

運行防火牆軟體(例如運行應用代理程序)的主機稱為堡壘主機。堡壘主機是防火牆最關鍵的部件，也是入侵者

最關注的部件，因此它必須健壯，必須不容易被攻破。

4. 狀態檢測防火牆的簡介

狀態檢測防火牆狀態檢測防火牆在網路層有一個檢查引擎截獲數據包並抽取出與應用層狀態有關的信息，並以此為依據決定對該連接是接受還是拒絕。這種技術提供了高度安全的解決方案，同時具有較好的適應性和擴展性。狀態檢測防火牆一般也包括一些代理級的服務，它們提供附加的對特定應用程序數據內容的支持。狀態檢測技術最適合提供對UDP協議的有限支持。它將所有通過防火牆的UDP分組均視為一個虛連接，當反向應答分組送達時，就認為一個虛擬連接已經建立。狀態檢測防火牆克服了包過濾防火牆和應用代理伺服器的局限性，不僅僅檢測「to」和「from」的地址，而且不要求每個訪問的應用都有代理。
這是第三代防火牆技術，能對網路通信的各層實行檢測。同包過濾技術一樣，它能夠檢測通過IP地址、埠號以及TCP標記，過濾進出的數據包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠
與應用層有關的代理，而是依靠某種演算法來識別進出的應用層數據，這些演算法通過己知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。狀態監視器的監視模塊支持多種協議和應用程序，可方便地實現應用和服務的擴充。此外，它還可監測RPC和UDP埠信息，而包過濾和代理都不支持此類埠。這樣，通過對各層進行監測，狀態監視器實現網路安全的目的。目前，多使用狀態監測防火牆，它對用戶透明，在OSI最高層上加密數據，而無需修改客戶端程序，也無需對每個需在防火牆上運行的服務額外增加一個代理。
狀態檢測防火牆基本保持了簡單包過濾防火牆的優點，性能比較好，同時對應用是透明的，在此基礎上，對於安全性有了大幅提升。這種防火牆摒棄了簡單包過濾防火牆僅僅考察進出網路的數據包，不關心數據包狀態的缺點，在防火牆的核心部分建立狀態連接表，維護了連接，將進出網路的數據當成一個個的事件來處理。可以這樣說，狀態檢測包過濾防火牆規范了網路層和傳輸層行為，而應用代理型防火牆則是規范了特定的應用協議上的行為。

5. 靜態包過濾防火牆、動態（狀態檢測）包過濾防火牆、應用層（代理）防火牆這三類防火牆適用情況

//ok，我改 //包過濾的防火牆最簡單，你可以指定讓某個IP或某個埠或某個網段的數據包通過[或不通過]，它不支持應用層的過濾，不支持數據包內容的過濾。 //狀態防火牆更復雜一點，按照TCP基於狀態的特點，在防火牆上記錄各個連接的狀態，這可以彌補包過濾防火牆的缺點，比如你允許了ip為1.1.1.1的數據包通過防火牆，但是惡意的人偽造ip的話，沒有通過tcp的三次握手也可以闖過包過濾防火牆。 //應用代理網關防火牆徹底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火牆對外網的訪問，然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發，訪問者任何時候都不能與伺服器建立直接的 TCP 連接，應用層的協議會話過程必須符合代理的安全策略要求。 應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵，對數據包的檢測能力比較強。 // 一、當前防火牆技術分類 防火牆技術經歷了包過濾、應用代理網關、再到狀態檢測三個階段。 1.1 包過濾技術 包過濾防火牆工作在網路層，對數據包的源及目地 IP 具有識別和控製作用，對於傳輸層，也只能識別數據包是 TCP 還是 UDP 及所用的埠信息，如下圖所示。現在的路由器、 Switch Router 以及某些操作系統已經具有用 Packet Filter 控制的能力。 由於只對數據包的 IP 地址、 TCP/UDP 協議和埠進行分析，包過濾防火牆的處理速度較快，並且易於配置。 包過濾防火牆具有根本的缺陷： 1 ．不能防範黑客攻擊。包過濾防火牆的工作基於一個前提，就是網管知道哪些 IP 是可信網路，哪些是不可信網路的 IP 地址。但是隨著遠程辦公等新應用的出現，網管不可能區分出可信網路與不可信網路的界限，對於黑客來說，只需將源 IP 包改成合法 IP 即可輕鬆通過包過濾防火牆，進入內網，而任何一個初級水平的黑客都能進行 IP 地址欺騙。 2 ．不支持應用層協議。假如內網用戶提出這樣一個需求，只允許內網員工訪問外網的網頁（使用 HTTP 協議），不允許去外網下載電影（一般使用 FTP 協議）。包過濾防火牆無能為力，因為它不認識數據包中的應用層協議，訪問控制粒度太粗糙。 3 ．不能處理新的安全威脅。它不能跟蹤 TCP 狀態，所以對 TCP 層的控制有漏洞。如當它配置了僅允許從內到外的 TCP 訪問時，一些以 TCP 應答包的形式從外部對內網進行的攻擊仍可以穿透防火牆。 綜上可見，包過濾防火牆技術面太過初級，就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他（她）進入一樣，難以履行保護內網安全的職責。 1.2 應用代理網關技術 應用代理網關防火牆徹底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火牆對外網的訪問，然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發，訪問者任何時候都不能與伺服器建立直接的 TCP 連接，應用層的協議會話過程必須符合代理的安全策略要求。 應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵，對數據包的檢測能力比較強。 缺點也非常突出，主要有： · 難於配置。由於每個應用都要求單獨的代理進程，這就要求網管能理解每項應用協議的弱點，並能合理的配置安全策略，由於配置繁瑣，難於理解，容易出現配置失誤，最終影響內網的安全防範能力。 · 處理速度非常慢。斷掉所有的連接，由防火牆重新建立連接，理論上可以使應用代理防火牆具有極高的安全性。但是實際應用中並不可行，因為對於內網的每個 Web 訪問請求，應用代理都需要開一個單獨的代理進程，它要保護內網的 Web 伺服器、資料庫伺服器、文件伺服器、郵件伺服器，及業務程序等，就需要建立一個個的服務代理，以處理客戶端的訪問請求。這樣，應用代理的處理延遲會很大，內網用戶的正常 Web 訪問不能及時得到響應。 總之，應用代理防火牆不能支持大規模的並發連接，在對速度敏感的行業使用這類防火牆時簡直是災難。另外，防火牆核心要求預先內置一些已知應用程序的代理，使得一些新出現的應用在代理防火牆內被無情地阻斷，不能很好地支持新應用。 在 IT 領域中，新應用、新技術、新協議層出不窮，代理防火牆很難適應這種局面。因此，在一些重要的領域和行業的核心業

6. 防火牆在普通包過濾和狀態檢測時針對ftp協議處理的不同，規則設置有什麼不同

防火牆通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務。 包過濾技專術是一種簡單屬、有效的安全控制技術，它通過在網路間相互連接的設備上載入允許、禁止來自某些特定的源地址、目的地址、TCP埠號等規則，對通過設備的數據包進行檢查，...

7. 簡述防火牆防護原理

防火牆基本原理

首先，我們需要了解一些基本的防火牆實現原理。防火牆目前主要分包過濾，和狀態檢測的包過濾，應用層代理防火牆。但是他們的基本實現都是類似的。

│-路由器--網卡│防火牆│網卡│-內部網路│

防火牆一般有兩個以上的網路卡，一個連到外部（router)，另一個是連到內部網路。當打開主機網路轉發功能時，兩個網卡間的網路通訊能直接通過。當有防火牆時，他好比插在網卡之間，對所有的網路通訊進行控制。

說到訪問控制，這是防火牆的核心了：），防火牆主要通過一個訪問控製表來判斷的，他的形式一般是一連串的如下規則：

1 accept from+ 源地址，埠 to+ 目的地址，埠+ 採取的動作

2 deny .（deny就是拒絕。。)

3 nat .(nat是地址轉換。後面說）

防火牆在網路層（包括以下的煉路層）接受到網路數據包後，就從上面的規則連表一條一條地匹配，如果符合就執行預先安排的動作了！如丟棄包。。

但是，不同的防火牆，在判斷攻擊行為時，有實現上的差別。下面結合實現原理說說可能的攻擊。

二 攻擊包過濾防火牆

包過濾防火牆是最簡單的一種了，它在網路層截獲網路數據包，根據防火牆的規則表，來檢測攻擊行為。他根據數據包的源IP地址；目的IP地址；TCP/UDP源埠；TCP/UDP目的埠來過濾！！很容易受到如下攻擊：

1 ip 欺騙攻擊：

這種攻擊，主要是修改數據包的源，目的地址和埠，模仿一些合法的數據包來騙過防火牆的檢測。如：外部攻擊者，將他的數據報源地址改為內部網路地址，防火牆看到是合法地址就放行了：）。可是，如果防火牆能結合介面，地址來匹配，這種攻擊就不能成功了：（

2 d.o.s拒絕服務攻擊

簡單的包過濾防火牆不能跟蹤 tcp的狀態，很容易受到拒絕服務攻擊，一旦防火牆受到d.o.s攻擊，他可能會忙於處理，而忘記了他自己的過濾功能。：）你就可以饒過了，不過這樣攻擊還很少的。！

3 分片攻擊

這種攻擊的原理是：在IP的分片包中，所有的分片包用一個分片偏移欄位標志分片包的順序，但是，只有第一個分片包含有TCP埠號的信息。當IP分片包通過分組過濾防火牆時，防火牆只根據第一個分片包的Tcp信息判斷是否允許通過，而其他後續的分片不作防火牆檢測，直接讓它們通過。

這樣，攻擊者就可以通過先發送第一個合法的IP分片，騙過防火牆的檢測，接著封裝了惡意數據的後續分片包就可以直接穿透防火牆，直接到達內部網路主機，從而威脅網路和主機的安全。

4 木馬攻擊

對於包過濾防火牆最有效的攻擊就是木馬了，一但你在內部網路安裝了木馬，防火牆基本上是無能為力的。

原因是：包過濾防火牆一般只過濾低埠（1-1024），而高埠他不可能過濾的（因為，一些服務要用到高埠，因此防火牆不能關閉高埠的），所以很多的木馬都在高埠打開等待，如冰河，subseven等。。。
但是木馬攻擊的前提是必須先上傳，運行木馬，對於簡單的包過濾防火牆來說，是容易做的。這里不寫這個了。大概就是利用內部網路主機開放的服務漏洞。

早期的防火牆都是這種簡單的包過濾型的，到現在已很少了，不過也有。現在的包過濾採用的是狀態檢測技術，下面談談狀態檢測的包過濾防火牆。狀態檢測技術最早是checkpoint提出的，在國內的許多防火牆都聲稱實現了狀態檢測技術。

可是：）很多是沒有實現的。到底什麼是狀態檢測？

一句話，狀態檢測就是從tcp連接的建立到終止都跟蹤檢測的技術。

原先的包過濾，是拿一個一個單獨的數據包來匹配規則的。可是我們知道，同一個tcp連接，他的數據包是前後關聯的，先是syn包，-》數據包=》fin包。數據包的前後序列號是相關的。

如果割裂這些關系，單獨的過濾數據包，很容易被精心夠造的攻擊數據包欺騙！！！如nmap的攻擊掃描，就有利用syn包，fin包，reset包來探測防火牆後面的網路。！

相反，一個完全的狀態檢測防火牆，他在發起連接就判斷，如果符合規則，就在內存登記了這個連接的狀態信息（地址，port，選項。。）,後續的屬於同一個連接的數據包，就不需要在檢測了。直接通過。而一些精心夠造的攻擊數據包由於沒有在內存登記相應的狀態信息，都被丟棄了。這樣這些攻擊數據包，就不能饒過防火牆了。

說狀態檢測必須提到動態規則技術。在狀態檢測里，採用動態規則技術，原先高埠的問題就可以解決了。實現原理是：平時，防火牆可以過濾內部網路的所有埠(1-65535),外部攻擊者難於發現入侵的切入點，可是為了不影響正常的服務，防火牆一但檢測到服務必須開放高埠時，如（ftp協議，irc等），防火牆在內存就可以動態地天加一條規則打開相關的高埠。等服務完成後，這條規則就又被防火牆刪除。這樣，既保障了安全，又不影響正常服務，速度也快。！
一般來說，完全實現了狀態檢測技術防火牆，智能性都比較高，一些掃描攻擊還能自動的反應，因此，攻擊者要很小心才不會被發現。

8. 狀態檢測和數據包過濾防火牆有何區別

問:在什麼情況下應用使用狀態檢測防火牆，和在什麼情況下應該使用數據包過濾防火牆? 答:總的來說，使用狀態檢測的防火牆是行業標准。狀態檢測防火牆幾年前就在大多數情況下取代了數據包過濾防火牆。大多數現代的防火牆系統都利用狀態監測技術的優勢。 這兩種防火牆的主要區別是，狀態監測系統維護一個狀態表，讓這些系統跟蹤通過防火牆的全部開放的連接。而數據包過濾防火牆就沒有這個功能。當通訊到達時，這個系統把這個通訊與狀態表進行比較，確定這個通訊是不是一個已經建立起來的通訊的一部分。 你可能看到數據包過濾防火牆在目前的環境中惟一使用的地方就是面向互聯網的路由器。這些設備通常執行基本的數據包過濾規則以消除明顯的不需要的通訊並且減輕緊跟在這台路由器後面的狀態監測防火牆的工作負荷。點擊此處查看本文國際來源

9. 靜態包過濾防火牆、動態（狀態檢測）包過濾防火牆、應用層（代理）防火牆這三類防火牆適用情況

//ok，我改
//包過濾的防火牆最簡單，你可以指定讓某個IP或某個埠或某個網段的數據包通過[或不通過]，它不支持應用層的過濾，不支持數據包內容的過濾。
//狀態防火牆更復雜一點，按照TCP基於狀態的特點，在防火牆上記錄各個連接的狀態，這可以彌補包過濾防火牆的缺點，比如你允許了ip為1.1.1.1的數據包通過防火牆，但是惡意的人偽造ip的話，沒有通過tcp的三次握手也可以闖過包過濾防火牆。
//應用代理網關防火牆徹底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火牆對外網的訪問，然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發，訪問者任何時候都不能與伺服器建立直接的 TCP 連接，應用層的協議會話過程必須符合代理的安全策略要求。
應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵，對數據包的檢測能力比較強。
//

一、當前防火牆技術分類
防火牆技術經歷了包過濾、應用代理網關、再到狀態檢測三個階段。

1.1 包過濾技術
包過濾防火牆工作在網路層，對數據包的源及目地 IP 具有識別和控製作用，對於傳輸層，也只能識別數據包是 TCP 還是 UDP 及所用的埠信息，如下圖所示。現在的路由器、 Switch Router 以及某些操作系統已經具有用 Packet Filter 控制的能力。
由於只對數據包的 IP 地址、 TCP/UDP 協議和埠進行分析，包過濾防火牆的處理速度較快，並且易於配置。

包過濾防火牆具有根本的缺陷：
1 ．不能防範黑客攻擊。包過濾防火牆的工作基於一個前提，就是網管知道哪些 IP 是可信網路，哪些是不可信網路的 IP 地址。但是隨著遠程辦公等新應用的出現，網管不可能區分出可信網路與不可信網路的界限，對於黑客來說，只需將源 IP 包改成合法 IP 即可輕鬆通過包過濾防火牆，進入內網，而任何一個初級水平的黑客都能進行 IP 地址欺騙。
2 ．不支持應用層協議。假如內網用戶提出這樣一個需求，只允許內網員工訪問外網的網頁（使用 HTTP 協議），不允許去外網下載電影（一般使用 FTP 協議）。包過濾防火牆無能為力，因為它不認識數據包中的應用層協議，訪問控制粒度太粗糙。
3 ．不能處理新的安全威脅。它不能跟蹤 TCP 狀態，所以對 TCP 層的控制有漏洞。如當它配置了僅允許從內到外的 TCP 訪問時，一些以 TCP 應答包的形式從外部對內網進行的攻擊仍可以穿透防火牆。
綜上可見，包過濾防火牆技術面太過初級，就好比一位保安只能根據訪客來自哪個省市來判斷是否允許他（她）進入一樣，難以履行保護內網安全的職責。

1.2 應用代理網關技術
應用代理網關防火牆徹底隔斷內網與外網的直接通信，內網用戶對外網的訪問變成防火牆對外網的訪問，然後再由防火牆轉發給內網用戶。所有通信都必須經應用層代理軟體轉發，訪問者任何時候都不能與伺服器建立直接的 TCP 連接，應用層的協議會話過程必須符合代理的安全策略要求。
應用代理網關的優點是可以檢查應用層、傳輸層和網路層的協議特徵，對數據包的檢測能力比較強。

缺點也非常突出，主要有：
· 難於配置。由於每個應用都要求單獨的代理進程，這就要求網管能理解每項應用協議的弱點，並能合理的配置安全策略，由於配置繁瑣，難於理解，容易出現配置失誤，最終影響內網的安全防範能力。
· 處理速度非常慢。斷掉所有的連接，由防火牆重新建立連接，理論上可以使應用代理防火牆具有極高的安全性。但是實際應用中並不可行，因為對於內網的每個 Web 訪問請求，應用代理都需要開一個單獨的代理進程，它要保護內網的 Web 伺服器、資料庫伺服器、文件伺服器、郵件伺服器，及業務程序等，就需要建立一個個的服務代理，以處理客戶端的訪問請求。這樣，應用代理的處理延遲會很大，內網用戶的正常 Web 訪問不能及時得到響應。
總之，應用代理防火牆不能支持大規模的並發連接，在對速度敏感的行業使用這類防火牆時簡直是災難。另外，防火牆核心要求預先內置一些已知應用程序的代理，使得一些新出現的應用在代理防火牆內被無情地阻斷，不能很好地支持新應用。
在 IT 領域中，新應用、新技術、新協議層出不窮，代理防火牆很難適應這種局面。因此，在一些重要的領域和行業的核心業務應用中，代理防火牆正被逐漸疏遠。
但是，自適應代理技術的出現讓應用代理防火牆技術出現了新的轉機，它結合了代理防火牆的安全性和包過濾防火牆的高速度等優點，在不損失安全性的基礎上將代理防火牆的性能提高了 10 倍。

1.3 狀態檢測技術
我們知道， Internet 上傳輸的數據都必須遵循 TCP/IP 協議，根據 TCP 協議，每個可靠連接的建立需要經過 「 客戶端同步請求 」 、 「 伺服器應答 」 、 「 客戶端再應答 」 三個階段，我們最常用到的 Web 瀏覽、文件下載、收發郵件等都要經過這三個階段。這反映出數據包並不是獨立的，而是前後之間有著密切的狀態聯系，基於這種狀態變化，引出了狀態檢測技術。
狀態檢測防火牆摒棄了包過濾防火牆僅考查數據包的 IP 地址等幾個參數，而不關心數據包連接狀態變化的缺點，在防火牆的核心部分建立狀態連接表，並將進出網路的數據當成一個個的會話，利用狀態表跟蹤每一個會話狀態。狀態監測對每一個包的檢查不僅根據規則表，更考慮了數據包是否符合會話所處的狀態，因此提供了完整的對傳輸層的控制能力。
網關防火牆的一個挑戰就是能處理的流量，狀態檢測技術在大為提高安全防範能力的同時也改進了流量處理速度。狀態監測技術採用了一系列優化技術，使防火牆性能大幅度提升，能應用在各類網路環境中，尤其是在一些規則復雜的大型網路上。
任何一款高性能的防火牆，都會採用狀態檢測技術。
從 2000 年開始，國內的著名防火牆公司，如北京天融信等公司，都開始採用這一最新的體系架構，並在此基礎上，天融信 NGFW4000 創新推出了核檢測技術，在操作系統內核模擬出典型的應用層協議，在內核實現對應用層協議的過濾，在實現安全目標的同時可以得到極高的性能。目前支持的協議有 HTTP/1.0/1.1 、 FTP 、 SMTP 、 POP3 、 MMS 、 H.232 等最新和最常用的應用協議。

二、防火牆發展的新技術趨勢

2.1 新需求引發的技術走向
防火牆技術的發展離不開社會需求的變化，著眼未來，我們注意到以下幾個新的需求。
· 遠程辦公的增長。這次全國主要城市先後受到 SARS 病毒的侵襲，直接促成大量的企事業在家辦公，這就要求防火牆既能抵抗外部攻擊，又能允許合法的遠程訪問，做到更細粒度的訪問控制。現在一些廠商推出的 VPN （虛擬專用網）技術就是很好的解決方式。只有以指定方式加密的數據包才能通過防火牆，這樣可以確保信息的保密性，又能成為識別入侵行為的手段。
· 內部網路 「 包廂化 」 （ compartmentalizing ）。人們通常認為處在防火牆保護下的內網是可信的，只有 Internet 是不可信的。由於黑客攻擊技術和工具在 Internet 上隨手可及，使得內部網路的潛在威脅大大增加，這種威脅既可以是外網的人員，也可能是內網用戶，不再存在一個可信網路環境。
由於無線網路的快速應用以及傳統撥號方式的繼續存在，內網受到了前所未有的威脅。企業之前的合作將合作夥伴納入了企業網路里，全國各地的分支機構共享一個論壇，都使可信網路的概念變得模糊起來。應對的辦法就是將內部網細分成一間間的 「 包廂 」 ，對每個 「 包廂 」 實施獨立的安全策略。

2.2 黑客攻擊引發的技術走向
防火牆作為內網的貼身保鏢，黑客攻擊的特點也決定了防火牆的技術走向。
 80 埠的關閉。從受攻擊的協議和埠來看，排在第一位的就是 HTTP 協議（ 80 埠）。

根據 SANS 的調查顯示，提供 HTTP 服務的 IIS 和 Apache 是最易受到攻擊，這說明 80 埠所引發的威脅最多。
因此，無論是未來的防火牆技術還是現在應用的防火牆產品，都應盡可能將 80 埠關閉。
· 數據包的深度檢測。 IT 業界權威機構 Gartner 認為代理不是阻止未來黑客攻擊的關鍵，但是防火牆應能分辨並阻止數據包的惡意行為，包檢測的技術方案需要增加簽名檢測 (signature inspection) 等新的功能，以查找已經的攻擊，並分辨出哪些是正常的數據流，哪些是異常數據流。
· 協同性。從黑客攻擊事件分析，對外提供 Web 等應用的伺服器是防護的重點。單單依靠防火牆難以防範所有的攻擊行為，這就需要將防火牆技術、入侵檢測技術、病毒檢測技術有效協同，共同完成保護網路安全的任務。早在 2000 年，北京天融信公司就已經認識到了協同的必要性和緊迫性，推出了 TOPSEC 協議，與 IDS 等其他安全設備聯動，與其他安全設備配合組成一個有機的可擴展的安全體系平台。目前主要支持和 IDS 的聯動和認證伺服器進行聯動。如支持國內十幾家知名的 IDS 、安全管理系統、安全審計、其他認證系統等等組成完整的 TOPSEC 解決方案。 2002 年 9 月，北電、思科和 Check Point 一道宣布共同推出安全產品，也體現了廠商之間優勢互補、互通有無的趨勢。