傲盾防火墻有哪些類型（防火墻原理詳解），小編帶你了解更多相關信息。

防火墻三種類型

1、包過濾防火墻

包過濾是最早使用的一種防火墻技術，它的第一代模型是“靜態(tài)包過濾”，使用包過濾技術的防火墻通常工作在OSI模型中的網(wǎng)絡層上，后來發(fā)展更新的“動態(tài)包過濾”，簡而言之，包過濾技術工作的方法就是基于各種頭部、協(xié)議、地址、端口、類型等信息進行分析，并與預先設定好的防火墻過濾規(guī)則進行核對，一旦發(fā)現(xiàn)某個或多個部分與過濾規(guī)則匹配并且條件為“阻止”的時候，這個包會被丟棄。

2、應用代理防護墻

由于包過濾技術無法提供完善的數(shù)據(jù)保護措施，而且一些特殊的報文攻擊僅僅使用過濾的方法并不能消除危害(如SYN攻擊、ICMP洪水等)，代理防護墻應運而生，這種防火墻實際上就是一臺小型代用數(shù)據(jù)檢測過濾功能的透明代理服務器，但是它并不是單純在一個代理設備嵌入包過濾技術，而是一種被稱為“應用協(xié)議分析”的新技術，它工作在OSI模型的最高層——應用層。

3、狀態(tài)檢測防火墻

這是繼“包過濾”技術和“應用代理”技術后發(fā)展的防火墻技術，它通過采用一種被稱為“狀態(tài)監(jiān)視”的模塊，對網(wǎng)絡通信各個層次實現(xiàn)監(jiān)測，并根據(jù)各種過濾規(guī)則作出安全策略。“安全監(jiān)視”技術在保留了對每個數(shù)據(jù)包的頭部、協(xié)議、地址、端口、類型等信息就那些分析的基礎上，進一步發(fā)展了“會話過濾”功能，在每個鏈接建立時，防護墻會對這個連接構(gòu)造一個會話狀態(tài)，里面包含了這個連接數(shù)據(jù)包的所有信息，以后這個連接都基于這個狀態(tài)信息進行。

狀態(tài)防火墻的優(yōu)勢

狀態(tài)檢測防火墻出現(xiàn)是防火墻發(fā)展歷史上里程碑的事件，而其所使用的狀態(tài)檢測和會話機制，目前已經(jīng)成為防火墻產(chǎn)品的基本功能，也是防火墻實現(xiàn)安全防護的基礎技術。

在狀態(tài)檢測防火墻出現(xiàn)之前，包過濾防火墻只根據(jù)設定好的靜態(tài)規(guī)則來判斷是否允許報文通過，它認為報文都是無狀態(tài)的孤立個體，不關注報文產(chǎn)生的前因后果，這就要求包過濾防火墻必須針對每一個方向上的報文都配置一條規(guī)則，轉(zhuǎn)發(fā)效率低下而且容易帶來安全風險。

而狀態(tài)檢測防火墻的出現(xiàn)正好彌補了包過濾防火墻的這個缺陷。狀態(tài)檢測防火墻使用基于連接狀態(tài)的檢測機制，將通信雙方之間交互的屬于同一連接的所有報文都作為整個的數(shù)據(jù)流來對待。在狀態(tài)檢測防火墻看來，同一個數(shù)據(jù)流內(nèi)的報文不再是孤立的個體，而是存在聯(lián)系的。例如，為數(shù)據(jù)流的第一個報文建立會話，數(shù)據(jù)流內(nèi)的后續(xù)報文就會直接匹配會話轉(zhuǎn)發(fā)，不需要再進行規(guī)則的檢查，提高了轉(zhuǎn)發(fā)效率。

先看一個簡單的網(wǎng)絡環(huán)境，如下圖所示，PC和Web服務器位于不同的網(wǎng)絡，分別與防火墻相連，PC與Web服務器之間的通信受到防火墻的控制。

當PC需要訪問Web服務器瀏覽網(wǎng)頁時，在防火墻上必須配置如下的一條規(guī)則，允許PC訪問Web服務器的報文通過。

在這條規(guī)則中，源端口處的*表示任意的端口，這是因為PC在訪問Web服務器時，它的操作系統(tǒng)決定了所使用的源端口。例如，對于WINDOWS操作系統(tǒng)來說，這個值可能是1024~65535范圍內(nèi)任意的一個端口。這個值是不確定的，所以這里設定為任意端口。

配置了這條規(guī)則后，PC發(fā)出的報文就可以順利通過防火墻，到達Web服務器。然后Web服務器將會向PC發(fā)送回應報文，這個報文也要穿過防火墻才能到達PC。在狀態(tài)檢測防火墻出現(xiàn)之前，包過濾防火墻還必須配置如下所示的規(guī)則2，允許反方向的報文通過。

在規(guī)則2中，目的端口也設定為任意端口，因為我們無法確定PC訪問Web服務器時使用的源端口，要想使Web服務器回應的報文都能順利穿過防火墻到達PC，只能將規(guī)則2中的目的端口設定為任意端口。

如果PC位于受保護的網(wǎng)絡中，這樣處理將會帶來很大的安全問題。規(guī)則2將去往PC的目的端口全部開放，外部的惡意攻擊者偽裝成Web服務器，就可以暢通無阻地穿過防火墻，PC將會面臨嚴重的安全風險。

接下來讓我們看一下狀態(tài)檢測防火墻怎么解決這個問題。還是以上面的網(wǎng)絡環(huán)境為例，首先我們還是需要在防火墻上設定規(guī)則1，允許PC訪問Web服務器的報文通過。當報文到達防火墻后，防火墻允許報文通過，同時還會針對PC訪問Web服務器的這個行為建立會話（Session），會話中包含了PC發(fā)出的報文信息，如地址和端口等。

當Web服務器回應給PC的報文到達防火墻后，防火墻會把報文中的信息與會話中的信息進行比對，發(fā)現(xiàn)報文中的信息與會話中的信息相匹配，并且符合協(xié)議規(guī)范對后續(xù)包的定義，則認為這個報文屬于PC訪問Web服務器行為的后續(xù)回應報文，直接允許這個報文通過，如下圖所示。

光說不練假把式，下面使用eNSP模擬器來搭建一個簡單的網(wǎng)絡環(huán)境，驗證防火墻上的狀態(tài)檢測機制。網(wǎng)絡拓撲如下：

基本配置

[USG6000V1]interface GigabitEthernet 1/0/1

[USG6000V1-GigabitEthernet1/0/1]ip address 202.102.10.1 24

[USG6000V1]interface GigabitEthernet 1/0/0

[USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.1 24

[USG6000V1]firewall zone trust

[USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0

[USG6000V1]firewall zone dmz

[USG6000V1-zone-dmz]add interface GigabitEthernet 1/0/1

配置安全策略

為了方便我這里建議使用web界面去配置，安全策略，如下圖

防火墻上只配置了一條規(guī)則：允許PC訪問Web服務器的報文通過。在PC上使用HttpClient程序訪問Web服務器，發(fā)現(xiàn)可以成功訪問：

在防火墻上使用display firewall session table命令查看會話表的信息，發(fā)現(xiàn)已經(jīng)建立一條會話：