網絡技術是從1990年代中期發展起來的新技術，它把互聯網上分散的資源融為有機整體，實現資源的全面共享和有機協作，使人們能夠透明地使用資源的整體能力并按需獲取信息。資源包括高性能計算機、存儲資源、數據資源、信息資源、知識資源、專家資源、大型數據庫、網絡、傳感器等。 當前的互聯網只限于信息共享，網絡則被認為是互聯網發展的第三階段。

防火墻原理入門(2)

    

第二代：動態包過濾

　　這種類型的防火墻采用動態設置包過濾規則的方法，避免了靜態包過濾所具有的問題。這種技術后來發展成為所謂包狀態監測（Stateful Inspection）技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據需要可動態地在過濾規則中增加或更綠蹌俊?

　　圖2 動態包過濾防火墻

　　2． 代理防火墻

　　第一代：代理防火墻

　　代理防火墻也叫應用層網關（Application Gateway）防火墻。這種防火墻通過一種代理（Proxy）技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后，就好像是源于防火墻外部網卡一樣，從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。

　　所謂代理服務器，是指代表客戶處理在服務器連接請求的程序。當代理服務器得到一個客戶的連接意圖時，它們將核實客戶請求，并經過特定的安全化的Proxy應用程序處理連接請求，將處理后的請求傳遞到真實的服務器上，然后接受服務器應答，并做進一步處理后，將答復交給發出請求的最終客戶。代理服務器在外部網絡向內部網絡申請服務時發揮了中間轉接的作用。

　　代理類型防火墻的最突出的優點就是安全。由于每一個內外網絡之間的連接都要通過Proxy的介入和轉換，通過專門為特定的服務如Http編寫的安全化的應用程序進行處理，然后由防火墻本身提交請求和應答，沒有給內外網絡的計算機以任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。包過濾類型的防火墻是很難徹底避免這一漏洞的。就像你要向一個陌生的重要人物遞交一份聲明一樣，如果你先將這份聲明交給你的律師，然后律師就會審查你的聲明，確認沒有什么負面的影響后才由他交給那個陌生人。在此期間，陌生人對你的存在一無所知，如果要對你進行侵犯，他面對的將是你的律師，而你的律師當然比你更加清楚該如何對付這種人。

　圖3 傳統代理型防火墻

　　代理防火墻的最大缺點就是速度相對比較慢，當用戶對內外網絡網關的吞吐量要求比較高時，（比如要求達到75-100Mbps時）代理防火墻就會成為內外網絡之間的瓶頸。所幸的是，目前用戶接入Internet的速度一般都遠低于這個數字。在現實環境中，要考慮使用包過濾類型防火墻來滿足速度要求的情況，大部分是高速網（ATM或千兆位以太網等）之間的防火墻。

　　第二代：自適應代理防火墻

　　自適應代理技術（Adaptive proxy）是最近在商業應用防火墻中實現的一種革命性的技術。它可以結合代理類型防火墻的安全性和包過濾防火墻的高速度等優點，在毫不損失安全性的基礎之上將代理型防火墻的性能提高10倍以上。組成這種類型防火墻的基本要素有兩個：自適應代理服務器（Adaptive Proxy Server）與動態包過濾器（Dynamic Packet filter）。

　　圖4 自適應代理防火墻

　　在自適應代理與動態包過濾器之間存在一個控制通道。在對防火墻進行配置時，用戶僅僅將所需要的服務類型、安全級別等信息通過相應Proxy的管理界面進行設置就可以了。然后，自適應代理就可以根據用戶的配置信息，決定是使用代理服務從應用層代理請求還是從網絡層轉發包。如果是后者，它將動態地通知包過濾器增減過濾規則，滿足用戶對速度和安全性的雙重要求。

小資料

　　防火墻的發展史

　　第一代防火墻

　　第一代防火墻技術幾乎與路由器同時出現，采用了包過濾（Packet filter）技術。下圖表示了防火墻技術的簡單發展歷史。

　　第二、三代防火墻

　　1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應用層防火墻（代理防火墻）的初步結構。

　　第四代防火墻

　　1992年，USC信息科學院的BobBraden開發出了基于動態包過濾（Dynamic packet filter）技術的第四代防火墻，后來演變為目前所說的狀態監視（Stateful inspection）技術。1994年，以色列的CheckPoint公司開發出了第一個采用這種技術的商業化的產品。

　　第五代防火墻

　　1998年，NAI公司推出了一種自適應代理（Adaptive proxy）技術，并在其產品Gauntlet Firewall for NT中得以實現，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

網絡的神奇作用吸引著越來越多的用戶加入其中，正因如此，網絡的承受能力也面臨著越來越嚴峻的考驗―從硬件上、軟件上、所用標準上......，各項技術都需要適時應勢，對應發展，這正是網絡迅速走向進步的催化劑。