网络攻防学习笔记 Day41

防火墙可以分为包过滤防火墙和应用网关防火墙两类。包过滤防火墙又可以细分为无状态包过滤防火墙和有状态包过滤防火墙。

过滤规则是包过滤防火墙的核心，每条过滤规则由匹配标准和防火墙操作两部分组成。匹配规则一般基于包头信息，可以是以源地址作为匹配规则，也可以综合地址、端口、协议、标识位等信息构建复合规则。包过滤防火墙执行的操作只有允许和拒绝两种。

有状态的包过滤防火墙记录这种交互的方法是将通过防火墙的域名解析请求添加到状态表中，服务器发送的回复如果状态表匹配即能够通过防火墙，防火墙相应地将域名解析的条目从状态表中删除。但是很多 UDP 应用比 DNS 解析这种一问一答形式的交互复杂很多，通信过程中往往会发送较多的数据包。

应用网关防火墙以代理服务器（Proxy Server）技术为基础。代理服务器作用在应用层，在内网主机与外网主机之间进行信息交换。

与包过滤防火墙相比，代理服务器直接与应用程序交互，其赖以决策的信息不仅仅是 IP 地址、端口号和数据包头首部的标志位信息，还有应用上下文。

防火墙系统体系结构包括屏蔽路由器结构、双宿主机结构、屏蔽主机结构和屏蔽子网结构四种。

在双宿主机结构中，双宿主机作为堡垒主机，运行应用网关防火墙软件，在内外网之间转发应用数据包，以及提供一些设定的网络服务。内外网主机无法直接通信，所有的通信数据经由双宿主机转发，双宿主机可以监视内外网之间的所有通信，因而双宿主机的日志记录有助于网络管理员审计网络的安全性。

防火墙在网络中的使用主要包括四个步骤。

首先，制定完善的内网安全策略。

其次，遵从安全策略，确定防火墙的体系结构。

再者，根据需求制定包过滤防火墙的过滤规则或者配置堡垒主机。

最后，做好审计工作，并按计划查看审计记录从而及时发现攻击行为。

防火墙体系结构的选择是防火墙系统充分发挥效用的重要一步。必须依据网络安全策略，构建合理的防火墙体系结构，从而全面有效地对内部网络提供安全防护。