防火墻工作原理和種類

1、近年來(lái)， 隨著普通計(jì)算機(jī)用戶群的日益增長(zhǎng)， “防火墻”一詞已經(jīng)不再是服務(wù)器領(lǐng)域的專署，大部分家庭用戶都知道為自己愛(ài)機(jī)安裝各種“防火墻”軟件了。但是，并不是所有用戶都對(duì)“防火墻”有所了解的，一部分用戶甚至認(rèn)為，“防火墻”是一種軟件的名稱到底什么才是防火墻？它工作在什么位置， 起著什么作用？查閱歷史書(shū)籍可知， 古代構(gòu) 筑和使用木制結(jié)構(gòu)房屋的時(shí)候?yàn)榉乐够馂?zāi)的發(fā)生和蔓延， 人們將堅(jiān)固的石塊堆砌在房屋周圍 作為屏障， 這種防護(hù)構(gòu)筑物就被稱為“防火墻”( Fire Wall ) 。時(shí)光飛梭，隨著計(jì)算機(jī)和網(wǎng)絡(luò)的 發(fā)展，各種攻擊入侵手段也相繼出現(xiàn)了， 為了保護(hù)計(jì)算機(jī)的安全， 人們開(kāi)發(fā)出一種能阻止計(jì) 算機(jī)之間直

2、接通信的技術(shù)，并沿用了古代類似這個(gè)功能的名字“防火墻”技術(shù)來(lái)源于此。 用專業(yè)術(shù)語(yǔ)來(lái)說(shuō)， 防火墻是一種位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間， 實(shí)施網(wǎng)絡(luò)之間訪問(wèn)控制的組件集合。 對(duì)于普通用戶來(lái)說(shuō)，所謂“防火墻”，指的就是一種被放置在自己的計(jì)算機(jī)與外界網(wǎng)絡(luò)之間的防御系統(tǒng)， 從網(wǎng)絡(luò)發(fā)往計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過(guò)它的判斷處理后， 才會(huì)決定能不能把這些 數(shù)據(jù)交給計(jì)算機(jī)，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會(huì)攔截下來(lái)，實(shí)現(xiàn)了對(duì)計(jì)算機(jī)的保護(hù)功能。防火墻技術(shù)從誕生開(kāi)始， 就在一刻不停的發(fā)展著， 各種不同結(jié)構(gòu)不同功能的防火墻，構(gòu) 筑成網(wǎng)絡(luò)上的一道道防御大堤。一 . 防火墻的分類世界上沒(méi)有一種事物是唯一的， 防火墻也一樣， 為了更有效率的對(duì)付

3、網(wǎng)絡(luò)上各種不同攻擊手段， 防火墻也派分出幾種防御架構(gòu)。 根據(jù)物理特性，防火墻分為兩大類， 硬件防火墻和軟件防火墻。 軟件防火墻是一種安裝在負(fù)責(zé)內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換的網(wǎng)關(guān)服務(wù)器或者獨(dú)立的個(gè)人計(jì)算機(jī)上的特殊程序，它是以邏輯形式存在的，防火墻程序跟隨系統(tǒng)啟動(dòng)，通過(guò)運(yùn)行在 Ring0 級(jí)別的特殊驅(qū)動(dòng)模塊把防御機(jī)制插入系統(tǒng)關(guān)于網(wǎng)絡(luò)的處理部分和網(wǎng)絡(luò)接口設(shè)備驅(qū)動(dòng)之間， 形 成一種邏輯上的防御體系。在沒(méi)有軟件防火墻之前， 系統(tǒng)和網(wǎng)絡(luò)接口設(shè)備之間的通道是直接的，網(wǎng)絡(luò)接 口 設(shè)備通過(guò) 網(wǎng)絡(luò)驅(qū)動(dòng) 程序 接口 ( Network Driver InterfaceSpecification , NDIS)把網(wǎng)絡(luò)上傳來(lái)的各種報(bào)文

4、都忠實(shí)的交給系統(tǒng)處理，例如一臺(tái)計(jì)算機(jī)接收到請(qǐng)求列出機(jī)器上所有共享資源的數(shù)據(jù)報(bào)文， NDIS 直接把這個(gè)報(bào)文提交給系統(tǒng)， 系統(tǒng)在處理后就會(huì)返回相應(yīng)數(shù)據(jù)， 在某些情況下就會(huì)造 成信息泄漏。而使用軟件防火墻后，盡管NDIS 接收到仍然的是原封不動(dòng)的數(shù)據(jù)報(bào)文， 但是 在提交到系統(tǒng)的通道上多了一層防御機(jī)制， 所有數(shù)據(jù)報(bào)文都要經(jīng)過(guò)這層機(jī)制根據(jù)一定的規(guī)則 判斷處理，只有它認(rèn)為安全的數(shù)據(jù)才能到達(dá)系統(tǒng)，其他數(shù)據(jù)則被丟棄。因?yàn)橛幸?guī)則提到“列 出共享資源的行為是危險(xiǎn)的”， 因此在防火墻的判斷下， 這個(gè)報(bào)文會(huì)被丟棄， 這樣一來(lái)，系 統(tǒng)接收不到報(bào)文，則認(rèn)為什么事情也沒(méi)發(fā)生過(guò)，也就不會(huì)把信息泄漏出去了。軟件防火墻工作于系

5、統(tǒng)接口與NDIS 之間， 用于檢查過(guò)濾由 NDIS 發(fā)送過(guò)來(lái)的數(shù)據(jù)， 在 無(wú)需改動(dòng)硬件的前提下便能實(shí)現(xiàn)一定強(qiáng)度的安全保障， 但是由于軟件防火墻自身屬于運(yùn)行于 系統(tǒng)上的程序，不可避免的需要占用一部分CPU資源維持工作，而且由于數(shù)據(jù)判斷處理需要一定的時(shí)間，在一些數(shù)據(jù)流量大的網(wǎng)絡(luò)里， 軟件防火墻會(huì)使整個(gè)系統(tǒng)工作效率和數(shù)據(jù)吞吐速度下降，甚至有些軟件防火墻會(huì)存在漏洞， 導(dǎo)致有害數(shù)據(jù)可以繞過(guò)它的防御體系， 給數(shù)據(jù)安全帶來(lái)?yè)p失， 因此， 許多企業(yè)并不會(huì)考慮用軟件防火墻方案作為公司網(wǎng)絡(luò)的防御措施，而是使用看得見(jiàn)摸得著的硬件防火墻。硬件防火墻是一種以物理形式存在的專用設(shè)備， 通常架設(shè)于兩個(gè)網(wǎng)絡(luò)的駁接處， 直接從

6、 網(wǎng)絡(luò)設(shè)備上檢查過(guò)濾有害的數(shù)據(jù)報(bào)文， 位于防火墻設(shè)備后端的網(wǎng)絡(luò)或者服務(wù)器接收到的是經(jīng) 過(guò)防火墻處理的相對(duì)安全的數(shù)據(jù)，不必另外分出 CPU 資源去進(jìn)行基于軟件架構(gòu)的 NDIS 數(shù) 據(jù)檢測(cè)， 可以大大提高工作效率。硬件防火墻一般是通過(guò)網(wǎng)線連接于外部網(wǎng)絡(luò)接口與內(nèi)部服務(wù)器或企業(yè)網(wǎng)絡(luò)之間的設(shè)備， 這里又另外派分出兩種結(jié)構(gòu)， 一種是普通硬件級(jí)別防火墻， 它擁有標(biāo)準(zhǔn)計(jì)算機(jī)的硬件平臺(tái)和 一些功能經(jīng)過(guò)簡(jiǎn)化處理的 UNIX 系列操作系統(tǒng)和防火墻軟件， 這種防火墻措施相當(dāng)于專門(mén)拿 出一臺(tái)計(jì)算機(jī)安裝了軟件防火墻， 除了不需要處理其他事務(wù)以外， 它畢竟還是一般的操作系統(tǒng)， 因此有可能會(huì)存在漏洞和不穩(wěn)定因素， 安全性并不

7、能做到最好； 另一種是所謂的“芯片” 級(jí)硬件防火墻，它采用專門(mén)設(shè)計(jì)的硬件平臺(tái)，在上面搭建的軟件也是專門(mén)開(kāi)發(fā)的，并非流行 的操作系統(tǒng)，因而可以達(dá)到較好的安全性能保障。但無(wú)論是哪種硬件防火墻，管理員都可以 通過(guò)計(jì)算機(jī)連接上去設(shè)置工作參數(shù)。 由于硬件防火墻的主要作用是把傳入的數(shù)據(jù)報(bào)文進(jìn)行過(guò)濾處理后轉(zhuǎn)發(fā)到位于防火墻后面的網(wǎng)絡(luò)中， 因此它自身的硬件規(guī)格也是分檔次的， 盡管硬件 防火墻已經(jīng)足以實(shí)現(xiàn)比較高的信息處理效率， 但是在一些對(duì)數(shù)據(jù)吞吐量要求很高的網(wǎng)絡(luò)里， 檔次低的防火墻仍然會(huì)形成瓶頸， 所以對(duì)于一些大企業(yè)而言， 芯片級(jí)的硬件防火墻才是他們 的首選。有人也許會(huì)這么想， 既然 PC 架構(gòu)的防火墻也不過(guò)如

8、此， 那么購(gòu)買這種防火墻還不如自 己找技術(shù)人員專門(mén)騰出一臺(tái)計(jì)算機(jī)來(lái)做防火墻方案了。 雖然這樣做也是可以的， 但是工作效率并不能和真正的 PC 架構(gòu)防火墻相比，因?yàn)?PC 架構(gòu)防火墻采用的是專門(mén)修改簡(jiǎn)化過(guò)的系 統(tǒng)和相應(yīng)防火墻程序， 比一般計(jì)算機(jī)系統(tǒng)和軟件防火墻更高度緊密集合， 而且由于它的工作性質(zhì)決定了它要具備非常高的穩(wěn)定性、 實(shí)用性和非常高的系統(tǒng)吞吐性能，這些要求并不是安 裝了多網(wǎng)卡的計(jì)算機(jī)就能簡(jiǎn)單替代的，因此PC 架構(gòu)防價(jià)格卻相差很大。火墻雖然是與計(jì)算機(jī)差不多的配置，現(xiàn)實(shí)中我們往往會(huì)發(fā)現(xiàn)， 并非所有企業(yè)都架設(shè)了芯片級(jí)硬件防火墻， 而是用 PC 架構(gòu)防 火墻甚至前面提到的計(jì)算機(jī)替代方案支撐著，

9、 為什么？這大概就是硬件防火墻最顯著的缺點(diǎn) 了：它太貴了！購(gòu)進(jìn)一臺(tái) PC 架構(gòu)防火墻的成本至少都要幾千元， 高檔次的芯片級(jí)防火墻方 案更是在十萬(wàn)元以上，這些價(jià)格并非是小企業(yè)所能承受的， 而且對(duì)于一般家庭用戶而言， 自己的數(shù)據(jù)和系統(tǒng)安全也無(wú)需專門(mén)用到一個(gè)硬件設(shè)備去保護(hù)， 何況為一臺(tái)防火墻投入的資金足 以讓用戶購(gòu)買更高檔的電腦了，因而廣大用戶只要安裝一種好用的軟件防火墻就夠了。為防火墻分類的方法很多， 除了從形式上把它分為軟件防火墻和硬件防火墻以外， 還可以從技術(shù)上分為“包過(guò)濾型”、“應(yīng)用代理型”和“狀態(tài)監(jiān)視”三類；從結(jié)構(gòu)上又分為單一主機(jī)防 火墻、路由集成式防火墻和分布式防火墻三種； 按工作位置分

10、為邊界防火墻、 個(gè)人防火墻和 混合防火墻；按防火墻性能分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類雖然看似種類繁多， 但這只是因?yàn)闃I(yè)界分類方法不同罷了， 例如一臺(tái)硬件防火墻就可能由于結(jié)構(gòu)、 數(shù)據(jù)吞吐量和 工作位置而規(guī)劃為“百兆級(jí)狀態(tài)監(jiān)視型邊界防火墻”，因此這里主要介紹的是技術(shù)方面的分類，即“包過(guò)濾型”、“應(yīng)用代理型”和“狀態(tài)監(jiān)視型”防火墻技術(shù)。那么， 那些所謂的“邊界防火墻”、 “單一主機(jī)防火墻”又是什么概念呢？所謂“邊界”，就是指兩個(gè)網(wǎng)絡(luò)之間的接口處，工作于此的防火墻就被稱為“邊界防火墻”；與之相對(duì)的有“個(gè)人防火墻”，它們通常是基于軟件的防火墻，只處理一臺(tái)計(jì)算機(jī)的數(shù)據(jù)而不是整個(gè)網(wǎng)絡(luò)的數(shù)據(jù)，現(xiàn)在一般家庭

11、用戶使用的軟件防火墻就是這個(gè)分類了。而“單一主機(jī)防火墻”呢，就是我 們最常見(jiàn)的一臺(tái)臺(tái)硬件防火墻了； 一些廠商為了節(jié)約成本， 直接把防火墻功能嵌進(jìn)路由設(shè)備里，就形成了路由集成式防火墻二 . 防火墻技術(shù)傳統(tǒng)意義上的防火墻技術(shù)分為三大類， “ 包過(guò) 濾 ”( Packet Filtering )“ 應(yīng) 用 代 、 理”( ApplicationProxy )和“狀態(tài)監(jiān)視”( Stateful Inspection ) ，無(wú)論一個(gè)防火墻的實(shí)現(xiàn)過(guò)程多 么復(fù)雜，歸根結(jié)底都是在這三種技術(shù)的基礎(chǔ)上進(jìn)行功能擴(kuò)展的。包過(guò)濾技術(shù)包過(guò)濾是最早使用的一種防火墻技術(shù)，它的第一代模型是“靜態(tài)包過(guò)濾”( Static Pac

12、ket Filtering ) ，使用包過(guò)濾技術(shù)的防火墻通常工作在OSI 模型中的網(wǎng)絡(luò)層 ( Network Layer ) 上， 后來(lái)發(fā)展更新的“動(dòng)態(tài)包過(guò)濾”( Dynamic Packet Filtering )增加了傳輸層( Transport Layer )， 簡(jiǎn)而言之， 包過(guò)濾技術(shù)工作的地方就是各種基于TCP/IP 協(xié)議的數(shù)據(jù)報(bào)文進(jìn)出的通道，它把這兩層作為數(shù)據(jù)監(jiān)控的對(duì)象，對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息進(jìn)行分析，并與預(yù)先設(shè)定好的防火墻過(guò)濾規(guī)則( Filtering Rule )進(jìn)行核對(duì)，一旦發(fā)現(xiàn)某個(gè)包的某個(gè)或多個(gè)部分與過(guò)濾規(guī)則匹配并且條件為“阻止”的時(shí)候， 這個(gè)包就會(huì)

13、被丟棄。 適當(dāng)?shù)脑O(shè)置過(guò)濾規(guī)則可以讓防火墻工作得更安全有效， 但是這種技術(shù)只能根據(jù)預(yù)設(shè)的過(guò)濾規(guī)則進(jìn)行判斷， 一 旦出現(xiàn)一個(gè)沒(méi)有在設(shè)計(jì)人員意料之中的有害數(shù)據(jù)包請(qǐng)求，整個(gè)防火墻的保護(hù)就相當(dāng)于擺設(shè) 了。也許你會(huì)想，讓用戶自行添加不行嗎？但是別忘了，我們要為是普通計(jì)算機(jī)用戶考慮， 并不是所有人都了解網(wǎng)絡(luò)協(xié)議的， 如果防火墻工具出現(xiàn)了過(guò)濾遺漏問(wèn)題， 他們只能等著被入侵了。 一些公司采用定期從網(wǎng)絡(luò)升級(jí)過(guò)濾規(guī)則的方法， 這個(gè)創(chuàng)意固然可以方便一部分家庭用 戶，但是對(duì)相對(duì)比較專業(yè)的用戶而言，卻不見(jiàn)得就是好事，因?yàn)樗麄兛赡軙?huì)有根據(jù)自己的機(jī)器環(huán)境設(shè)定和改動(dòng)的規(guī)則，如果這個(gè)規(guī)則剛好和升級(jí)到的規(guī)則發(fā)生沖突，用戶就該郁悶了

14、， 而且如果兩條規(guī)則 沖突了，防火墻該聽(tīng)誰(shuí)的，會(huì)不會(huì)當(dāng)場(chǎng)“死給你看”(崩潰)？也許就因?yàn)榭紤]到這些因素， 至今我沒(méi)見(jiàn)過(guò)有多少個(gè)產(chǎn)品會(huì)提供過(guò)濾規(guī)則更新功能的，這并不能和殺毒 軟件的病毒特征庫(kù)升級(jí)原理相提并論。 為了解決這種魚(yú)與熊掌的問(wèn)題， 人們對(duì)包過(guò)濾技術(shù)進(jìn) 行了改進(jìn)， 這種改進(jìn)后的技術(shù)稱為“動(dòng)態(tài)包過(guò)濾”（市場(chǎng)上存在一種“基于狀態(tài)的包過(guò)濾防火 墻”技術(shù)，即Stateful-based Packet Filtering ，他們其實(shí)是同一類型） ，與它的前輩相比， 動(dòng)態(tài) 包過(guò)濾功能在保持著原有靜態(tài)包過(guò)濾技術(shù)和過(guò)濾規(guī)則的基礎(chǔ)上，會(huì)對(duì)已經(jīng)成功與計(jì)算機(jī)連接 的報(bào)文傳輸進(jìn)行跟蹤， 并且判斷該連接發(fā)送的數(shù)據(jù)包

15、是否會(huì)對(duì)系統(tǒng)構(gòu)成威脅， 一旦觸發(fā)其判 斷機(jī)制， 防火墻就會(huì)自動(dòng)產(chǎn)生新的臨時(shí)過(guò)濾規(guī)則或者把已經(jīng)存在的過(guò)濾規(guī)則進(jìn)行修改， 從而 阻止該有害數(shù)據(jù)的繼續(xù)傳輸， 但是由于動(dòng)態(tài)包過(guò)濾需要消耗額外的資源和時(shí)間來(lái)提取數(shù)據(jù)包 內(nèi)容進(jìn)行判斷處理，所以與靜態(tài)包過(guò)濾相比，它會(huì)降低運(yùn)行效率，但是靜態(tài)包過(guò)濾已經(jīng)幾乎退出市場(chǎng)了，我們能選擇的，大部分也只有動(dòng)態(tài)包過(guò)濾防火墻了?；诎^(guò)濾技術(shù)的防火墻， 其缺點(diǎn)是很顯著的： 它得以進(jìn)行正常工作的一切依據(jù)都在于過(guò)濾規(guī)則的實(shí)施， 但是偏又不能滿足建立精細(xì)規(guī)則的要求 （規(guī)則數(shù)量和防火墻性能成反比） ， 而且它只能工作于網(wǎng)絡(luò)層和傳輸層， 并不能判斷高級(jí)協(xié)議里的數(shù)據(jù)是否有害， 但是由于它廉

16、價(jià)，容易實(shí)現(xiàn)，所以它依然服役在各種領(lǐng)域，在技術(shù)人員頻繁的設(shè)置下為我們工作著。應(yīng)用代理技術(shù)由于包過(guò)濾技術(shù)無(wú)法提供完善的數(shù)據(jù)保護(hù)措施， 而且一些特殊的報(bào)文攻擊僅僅使用過(guò)濾的方法并不能消除危害（如SYN攻擊、ICMP洪水等），因此人們需要一種更全面的防火墻保護(hù)技術(shù)，在這樣的需求背景下，采用“應(yīng)用代理”（ Application Proxy ）技術(shù)的防火墻誕生了。 我們的讀者還記得“代理”的概念嗎？代理服務(wù)器作為一個(gè)為用戶保密或者突破訪問(wèn)限制 的數(shù)據(jù)轉(zhuǎn)發(fā)通道，在網(wǎng)絡(luò)上應(yīng)用廣泛。我們都知道，一個(gè)完整的代理設(shè)備包含一個(gè)服務(wù)端和 客戶端， 服務(wù)端接收來(lái)自用戶的請(qǐng)求， 調(diào)用自身的客戶端模擬一個(gè)基于用戶請(qǐng)求的連

17、接到目 標(biāo)服務(wù)器，再把目標(biāo)服務(wù)器返回的數(shù)據(jù)轉(zhuǎn)發(fā)給用戶，完成一次代理工作過(guò)程。那么，如果在 一臺(tái)代理設(shè)備的服務(wù)端和客戶端之間連接一個(gè)過(guò)濾措施呢？這樣的思想便造就了“應(yīng)用代 理”防火墻，這種防火墻實(shí)際上就是一臺(tái)小型的帶有數(shù)據(jù)檢測(cè)過(guò)濾功能的透明代理服務(wù)器(Transparent Proxy ) ，但是它并不是單純的在一個(gè)代理設(shè)備中嵌入包過(guò)濾技術(shù)，而是一種被 稱為“應(yīng)用協(xié)議分析”( Application Protocol Analysis )的新技術(shù)?！皯?yīng)用協(xié)議分析”技術(shù)工作在OSI 模型的最高層應(yīng)用層上， 在這一層里能接觸到的所 有數(shù)據(jù)都是最終形式，也就是說(shuō)，防火墻“看到”的數(shù)據(jù)和我們看到的是一樣

18、的，而不是一個(gè)個(gè)帶著地址端口協(xié)議等原始內(nèi)容的數(shù)據(jù)包， 因而它可以實(shí)現(xiàn)更高級(jí)的數(shù)據(jù)檢測(cè)過(guò)程。 整個(gè)代 理防火墻把自身映射為一條透明線路， 在用戶方面和外界線路看來(lái)， 它們之間的連接并沒(méi)有 任何阻礙， 但是這個(gè)連接的數(shù)據(jù)收發(fā)實(shí)際上是經(jīng)過(guò)了代理防火墻轉(zhuǎn)向的， 當(dāng)外界數(shù)據(jù)進(jìn)入代理防火墻的客戶端時(shí)， “應(yīng)用協(xié)議分析”模塊便根據(jù)應(yīng)用層協(xié)議處理這個(gè)數(shù)據(jù)，通過(guò)預(yù)置的處理規(guī)則(沒(méi)錯(cuò)，又是規(guī)則，防火墻離不開(kāi)規(guī)則)查詢這個(gè)數(shù)據(jù)是否帶有危害，由于這一層面對(duì)的已經(jīng)不再是組合有限的報(bào)文協(xié)議， 甚至可以識(shí)別類似于“ GET /?id=1 and 1 ”的數(shù)據(jù) 內(nèi)容， 所以防火墻不僅能根據(jù)數(shù)據(jù)層提供的信息判斷數(shù)據(jù)， 更能像管

19、理員分析服務(wù)器日志那 樣“看”內(nèi)容辨危害。 而且由于工作在應(yīng)用層，防火墻還可以實(shí)現(xiàn)雙向限制，在過(guò)濾外部網(wǎng)絡(luò)有害數(shù)據(jù)的同時(shí)也監(jiān)控著內(nèi)部網(wǎng)絡(luò)的信息， 管理員可以配置防火墻實(shí)現(xiàn)一個(gè)身份驗(yàn)證和連接 時(shí)限的功能， 進(jìn)一步防止內(nèi)部網(wǎng)絡(luò)信息泄漏的隱患。 最后， 由于代理防火墻采取是代理機(jī)制 進(jìn)行工作， 內(nèi)外部網(wǎng)絡(luò)之間的通信都需先經(jīng)過(guò)代理服務(wù)器審核， 通過(guò)后再由代理服務(wù)器連接， 根本沒(méi)有給分隔在內(nèi)外部網(wǎng)絡(luò)兩邊的計(jì)算機(jī)直接會(huì)話的機(jī)會(huì)，可以避免入侵者使用“數(shù)據(jù)驅(qū)動(dòng)”攻擊方式(一種能通過(guò)包過(guò)濾技術(shù)防火墻規(guī)則的數(shù)據(jù)報(bào)文，但是當(dāng)它進(jìn)入計(jì)算機(jī)處理后， 卻變成能夠修改系統(tǒng)設(shè)置和用戶數(shù)據(jù)的惡意代碼) 滲透內(nèi)部網(wǎng)絡(luò)， 可以說(shuō)，

20、 “應(yīng)用代理”是比 包過(guò)濾技術(shù)更完善的防火墻技術(shù)。但是， 似乎任何東西都不可能逃避“墨菲定律”的規(guī)則， 代理型防火墻的結(jié)構(gòu)特征偏偏正 是它的最大缺點(diǎn)， 由于它是基于代理技術(shù)的， 通過(guò)防火墻的每個(gè)連接都必須建立在為之創(chuàng)建 的代理程序進(jìn)程上， 而代理進(jìn)程自身是要消耗一定時(shí)間的， 更何況代理進(jìn)程里還有一套復(fù)雜 的協(xié)議分析機(jī)制在同時(shí)工作，于是數(shù)據(jù)在通過(guò)代理防火墻時(shí)就不可避免的發(fā)生數(shù)據(jù)遲滯現(xiàn)象， 換個(gè)形象的說(shuō)法， 每個(gè)數(shù)據(jù)連接在經(jīng)過(guò)代理防火墻時(shí)都會(huì)先被請(qǐng)進(jìn)保安室喝杯茶搜搜身 再繼續(xù)趕路， 而保安的工作速度并不能很快。 代理防火墻是以犧牲速度為代價(jià)換取了比包過(guò)濾防火墻更高的安全性能，在網(wǎng)絡(luò)吞吐量不是很大的

21、情況下，也許用戶不會(huì)察覺(jué)到什么，然而到了數(shù)據(jù)交換頻繁的時(shí)刻， 代理防火墻就成了整個(gè)網(wǎng)絡(luò)的瓶頸， 而且一旦防火墻的硬件配 置支撐不住高強(qiáng)度的數(shù)據(jù)流量而發(fā)生罷工，整個(gè)網(wǎng)絡(luò)可能就會(huì)因此癱瘓了。 所以， 代理防火 墻的普及范圍還遠(yuǎn)遠(yuǎn)不及包過(guò)濾型防火墻， 而在軟件防火墻方面更是幾乎沒(méi)見(jiàn)過(guò)類似產(chǎn)品了 單機(jī)并不具備代理技術(shù)所需的條件， 所以就目前整個(gè)龐大的軟件防火墻市場(chǎng)來(lái)說(shuō)， 代理 防火墻很難有立足之地。狀態(tài)監(jiān)視技術(shù)這是繼“包過(guò)濾”技術(shù)和“應(yīng)用代理”技術(shù)后發(fā)展的防火墻技術(shù)， 它是CheckPoint 技術(shù)公司 在基于“包過(guò)濾”原理的“動(dòng)態(tài)包過(guò)濾”技術(shù)發(fā)展而來(lái)的，與之類似的有其他廠商聯(lián)合發(fā)展的 “深度包檢測(cè)”

22、( DeepPacketInspection ) 技術(shù)。 這種防火墻技術(shù)通過(guò)一種被稱為“狀態(tài)監(jiān)視” 的模塊，在不影響網(wǎng)絡(luò)安全正常工作的前提下采用抽取相關(guān)數(shù)據(jù)的方法對(duì)網(wǎng)絡(luò)通信的各個(gè)層 次實(shí)行監(jiān)測(cè)，并根據(jù)各種過(guò)濾規(guī)則作出安全決策?！盃顟B(tài)監(jiān)視”( Stateful Inspection )技術(shù)在保留了對(duì)每個(gè)數(shù)據(jù)包的頭部、協(xié)議、地址、端 口、類型等信息進(jìn)行分析的基礎(chǔ)上，進(jìn)一步發(fā)展了“會(huì)話過(guò)濾”( Session Filtering )功能，在每個(gè)連接建立時(shí)， 防火墻會(huì)為這個(gè)連接構(gòu)造一個(gè)會(huì)話狀態(tài)， 里面包含了這個(gè)連接數(shù)據(jù)包的所有信息， 以后這個(gè)連接都基于這個(gè)狀態(tài)信息進(jìn)行， 這種檢測(cè)的高明之處是能對(duì)每個(gè)數(shù)據(jù)包的 內(nèi)容進(jìn)行監(jiān)視，一旦建立了一個(gè)會(huì)話狀態(tài)，則此后的數(shù)據(jù)傳輸都要以此會(huì)話狀態(tài)作為依據(jù)，