網(wǎng)絡(luò)上的數(shù)據(jù)都是以包為單位進(jìn)行傳輸?shù)?，每一個(gè)數(shù)據(jù)包中都會(huì)包含一些特定的信息，如數(shù)據(jù)的源地址、目標(biāo)地址、源端口號(hào)和目標(biāo)端口號(hào)等。防火墻通過(guò)讀取數(shù)據(jù)包中的地址信息來(lái)判斷這些包是否來(lái)自可信任的網(wǎng)絡(luò)，并與預(yù)先設(shè)定的訪問(wèn)控制規(guī)則進(jìn)行比較，進(jìn)而確定是否需對(duì)數(shù)據(jù)包進(jìn)行處理和操作。數(shù)據(jù)包過(guò)濾可以防止外部不合法用戶對(duì)內(nèi)部網(wǎng)絡(luò)的訪問(wèn)，但由于不能檢測(cè)數(shù)據(jù)包的具體內(nèi)容，所以不能識(shí)別具有非法內(nèi)容的數(shù)據(jù)包，無(wú)法實(shí)施對(duì)應(yīng)用層協(xié)議的安全處理。來(lái)個(gè)丑圖解釋下：

包過(guò)濾優(yōu)點(diǎn)

（1）一個(gè)過(guò)濾路由器能協(xié)助保護(hù)整個(gè)網(wǎng)絡(luò)。絕大多數(shù)Internet防火墻系統(tǒng)只用一個(gè)包過(guò)濾路由器；
（2）過(guò)濾路由器速度快、效率高。執(zhí)行包過(guò)濾所用的時(shí)間很少或幾乎不需要什么時(shí)間，由于過(guò)濾路由器只檢查報(bào)頭相應(yīng)的字段，一般不查看數(shù)據(jù)報(bào)的內(nèi)容，而且某些核心部分是由專(zhuān)用硬件實(shí)現(xiàn)的，如果通信負(fù)載適中且定義的過(guò)濾很少的話，則對(duì)路由器性能沒(méi)有多大影響；
（3）包過(guò)濾路由器對(duì)終端用戶和應(yīng)用程序是透明的。當(dāng)數(shù)據(jù)包過(guò)濾路由器決定讓數(shù)據(jù)包通過(guò)時(shí)，它與普通路由器沒(méi)什么區(qū)別，甚至用戶沒(méi)有認(rèn)識(shí)到它的存在，因此不需要專(zhuān)門(mén)的用戶培訓(xùn)或在每主機(jī)上設(shè)置特別的軟件。

包過(guò)濾缺點(diǎn)

（1）定義包過(guò)濾器可能是一項(xiàng)復(fù)雜的工作。因?yàn)榫W(wǎng)管員需要詳細(xì)地了解Internet各種服務(wù)、包頭格式和他們?cè)谙Ｍ總€(gè)域查找的特定的值。
（2）路由器信息包的吞吐量隨過(guò)濾器數(shù)量的增加而減少。路由器被優(yōu)化用來(lái)從每個(gè)包中提取目的IP地址、查找一個(gè)相對(duì)簡(jiǎn)單的路由表，而后將信息包順向運(yùn)行到適當(dāng)轉(zhuǎn)發(fā)接口。如果過(guò)濾可執(zhí)行，路由器還必須對(duì)每個(gè)包執(zhí)行所有過(guò)濾規(guī)則。這可能消耗CPU的資源，并影響一個(gè)完全飽和的系統(tǒng)性能。
（3）不能徹底防止地址欺騙。大多數(shù)包過(guò)濾路由器都是基于源IP地址、目的IP地址而進(jìn)行過(guò)濾的，而IP地址的偽造是很容易、很普遍的。
（4）一些應(yīng)用協(xié)議不適合于數(shù)據(jù)包過(guò)濾。即使是完美的數(shù)據(jù)包過(guò)濾，也會(huì)發(fā)現(xiàn)一些協(xié)議不很適合于經(jīng)由數(shù)據(jù)包過(guò)濾安全保護(hù)。如RPC、X- Window和FTP。而且服務(wù)代理和HTTP的鏈接，大大削弱了基于源地址和源端口的過(guò)濾功能。
（5）正常的數(shù)據(jù)包過(guò)濾路由器無(wú)法執(zhí)行某些安全策略。例如，數(shù)據(jù)包說(shuō)它們來(lái)自什么主機(jī)，而不是什么用戶，因此，我們不能強(qiáng)行限制特殊的用戶。同樣地，數(shù)據(jù)包說(shuō)它到什么端口，而不是到什么應(yīng)用程序，當(dāng)我們通過(guò)端口號(hào)對(duì)高級(jí)協(xié)議強(qiáng)行限制時(shí)，不希望在端口上有別的指定協(xié)議之外的協(xié)議，而不懷好意的知情者能夠很容易地破壞這種控制。
（6）一些包過(guò)濾路由器不提供任何日志能力，直到闖入發(fā)生后，危險(xiǎn)的封包才可能檢測(cè)出來(lái)。它可以阻止非法用戶進(jìn)入內(nèi)部網(wǎng)絡(luò)，但也不會(huì)告訴我們究竟都有誰(shuí)來(lái)過(guò)，或者誰(shuí)從內(nèi)部進(jìn)入了外部網(wǎng)絡(luò)。

應(yīng)用代理

代理服務(wù)器是指代表內(nèi)網(wǎng)用戶向外網(wǎng)服務(wù)器進(jìn)行連接請(qǐng)求的服務(wù)程序。代理服務(wù)器運(yùn)行在兩個(gè)網(wǎng)絡(luò)之間，它對(duì)于客戶機(jī)來(lái)說(shuō)就像是一臺(tái)真的服務(wù)器，而對(duì)于外網(wǎng)的服務(wù)器來(lái)說(shuō)，它又是一臺(tái)客戶機(jī)?；竟ぷ鬟^(guò)程：
客戶機(jī)將請(qǐng)求發(fā)給代理服務(wù)器，代理服務(wù)器根據(jù)請(qǐng)求向服務(wù)器索取數(shù)據(jù)，然后將索取到的數(shù)據(jù)轉(zhuǎn)發(fā)給我們的客戶機(jī)。代理防火墻工作原理來(lái)個(gè)丑圖展示下：

應(yīng)用代理優(yōu)點(diǎn)

（1）代理服務(wù)器提供緩存功能，大部分信息在服務(wù)器上有緩存，這樣在提交重復(fù)請(qǐng)求時(shí)可以從緩存獲取信息而不必再次進(jìn)行網(wǎng)絡(luò)連接，提高網(wǎng)絡(luò)性能。
（2）外聯(lián)主機(jī)無(wú)法看清內(nèi)部網(wǎng)絡(luò)，阻止了一切對(duì)內(nèi)部網(wǎng)絡(luò)的探測(cè)活動(dòng)
（3）代理服務(wù)可以提供各種用戶身份認(rèn)證手段，加強(qiáng)服務(wù)的安全性。
（4）代理服務(wù)位于應(yīng)用層，提供了詳細(xì)的日志記錄，有助于分析。
（5）代理技術(shù)的過(guò)濾規(guī)則比包過(guò)濾的過(guò)濾規(guī)則簡(jiǎn)單

應(yīng)用代理缺點(diǎn)

（1）在訪問(wèn)數(shù)據(jù)流量大的情況下，代理技術(shù)會(huì)增加訪問(wèn)的延遲。
（2）應(yīng)用層代理不能支持所有的協(xié)議
（3）對(duì)操作系統(tǒng)有明顯依賴(lài)性，必須基于某個(gè)特定的系統(tǒng)和協(xié)議

網(wǎng)絡(luò)IP地址轉(zhuǎn)換（NAT）

網(wǎng)絡(luò)IP地址轉(zhuǎn)換是一種將私有IP地址轉(zhuǎn)化為公網(wǎng)IP地址的技術(shù)，它被廣泛應(yīng)用于各種類(lèi)型的網(wǎng)絡(luò)和互聯(lián)網(wǎng)中。網(wǎng)絡(luò)IP地址轉(zhuǎn)換一方面可隱藏內(nèi)部網(wǎng)絡(luò)的真實(shí)IP地址，使內(nèi)部網(wǎng)絡(luò)免受黑客的直接攻擊，另一方面由于內(nèi)部網(wǎng)絡(luò)使用了私有IP地址，從而有效解決了公網(wǎng)IP 地址不足的問(wèn)題。丑圖走一波：

如果在NAT模式的基礎(chǔ)上需要實(shí)現(xiàn)外部網(wǎng)絡(luò)訪問(wèn)內(nèi)部網(wǎng)絡(luò)服務(wù)的需求時(shí)，還可以使用地址/端口映射（MAP）技術(shù)，在防火墻上進(jìn)行地址/端口映射配置，當(dāng)外部網(wǎng)絡(luò)用戶需要訪問(wèn)內(nèi)部服務(wù)時(shí)，防火墻將請(qǐng)求映射到內(nèi)部服務(wù)器上；當(dāng)內(nèi)部服務(wù)器返回相應(yīng)數(shù)據(jù)時(shí)，防火墻再將數(shù)據(jù)轉(zhuǎn)發(fā)給外部網(wǎng)絡(luò)。使用地址/端口映射技術(shù)實(shí)現(xiàn)了外部用戶能夠訪問(wèn)內(nèi)部服務(wù)，但是外部用戶無(wú)法看到內(nèi)部服務(wù)器的真實(shí)地址，只能看到防火墻的地址，增強(qiáng)了內(nèi)部服務(wù)器的安全性。

審核編輯：彭菁