防火墙功能

防火墙功能
根据防火墙所支持的功能，可以使用各种技术来允许或阻止通信。基于防火墙的功能，这些技术提供了不同程度的保护。下列防火墙功能是按照复杂性递增的顺序列出的：

网络适配器输入筛选器
 
静态数据包筛选器
 
网络地址转换 (NAT)
 
监控状态的检查
 
线路级检查
 
应用程序层筛选
 

一般而言，提供复杂功能的防火墙也支持较简单的功能。但是，在选择防火墙时，应该仔细阅读供应商信息，因为在暗示的防火墙功能和实际功能之间可能会有细微的差异。防火墙的选择通常涉及询问有关功能以及进行测试，以确保产品确实具有说明书中的功能。

网络适配器输入筛选器
网络适配器输入筛选检查传入数据包中的源地址或目标地址及其他信息，然后阻止数据包通过或者允许它通过。它仅适用于传入通信而无法控制传出通信。它匹配 UDP 和 TCP 的 IP 地址和端口号，以及通信协议 TCP、UDP 和一般路由封装 (GRE)。网络适配器输入筛选能够快速有效地拒绝满足防火墙中配置的规则标准的标准传入数据包。但是，可以很容易地规避它，因为它仅匹配 IP 通信头，并假设正在筛选的通信符合 IP 标准并且没有故意规避筛选。

静态数据包筛选器
静态数据包筛选器与网络适配器输入筛选器的类似之处在于它们仅简单地匹配 IP 数据头来确定是否允许通信通过接口。但是，静态数据包筛选器允许控制接口的入站及出站通信。此外，静态数据包筛选器通常在网络适配器筛选上允许附加功能，可以检查 IP 数据头上是否设置了已确认的 (ACK) 位。ACK 位提供了有关数据包是一个新的请求还是来自原始请求的返回请求的信息。它不验证数据包是否是由原先接收它的接口发送的；基于 IP 数据头的规范，它仅检查进入接口的通信是否显示为返回通信。

此技术仅适用于 TCP 协议，而不适用于 UDP 协议。与网络适配器输入筛选类似，静态数据包筛选非常快，但是其功能受到限制并且特别精心制作的通信可以躲避它。

网络地址转换
在全球 IP 地址范围内，某些地址范围被指定为“专用地址”。这些地址范围旨在用于您的组织中，在 Internet 中没有任何意思。为其中的任何 IP 地址指定的通信无法通过 Internet 路由，因此为您的内部设备指定专用地址可以提供一些针对入侵的保护。但是，这些内部设备本身经常需要访问 Internet，所以网络地址转换 (NAT) 可以将专用地址转换成 Internet 地址。

严格的讲，虽然 NAT 不是一种防火墙技术，但是掩藏服务器的真正 IP 地址可以防止攻击者获取有关此服务器的有价值的信息。

状态检查
在状态检查中，所有传出的通信都记录在状态表中。在连接通信返回到接口时，将检查状态表以确保这些通信来源于此接口。状态检查比静态数据包筛选稍慢。但是，它可以确保仅在通信与传出的通信请求匹配时，才允许通过。状态表包括各种项目，如目标 IP 地址、源 IP 地址、正在调用的端口以及起始主机。

某些防火墙可能在状态表中存储了更多信息（如已发送和接收的 IP 分段），而其他防火墙存储的较少。防火墙可以在所有或某些分段的信息返回时，验证通信是否进行了处理。不同供应商的防火墙以不同的方式实现状态检查功能，因此您必须仔细阅读防火墙文档。状态检查功能通常有助于降低由网络侦察和 IP 欺骗造成的风险。

线路级检查
使用线路级筛选可以检查会话（与连接或数据包相对）。会话可能包括多个连接。与动态数据包筛选类似，建立会话仅为了响应用户请求。线路级筛选为次要连接提供了协议的内置支持，如 FTP 和流媒体。它通常有助于降低由网络侦察、DoS 和 IP 欺骗攻击造成的风险。

应用程序层筛选
防火墙通信检查的最完善级别是应用程序级筛选。好的应用程序筛选器允许您分析特定应用程序的数据流并且提供应用程序特定的处理。在数据通过防火墙时，此处理包括检查、筛分或阻止、重新定向以及修改数据。此机制用于保护诸如不安全的 SMTP 命令或对内部域名系统 (DNS) 的攻击等事件。通常，用于内容筛分的第三方工具，如病毒检测、词汇分析和站点分类可以添加到您的防火墙中。

基于通过它的通信，应用程序层防火墙可以检查许多的不同协议。与代理防火墙（通常检查 Internet 通信，如 HTTP、FTP 下载和 SSL）不一样，应用程序层防火墙可以更好地控制通过它的任何通信的方式。例如，应用程序层防火墙可以仅允许来源于防火墙边界内的 UDP 通信通过。如果 Internet 主机要端口扫描监控状态的防火墙以查看它是否允许 DNS 通信进入此环境，则此端口扫描可能会显示与 DNS 关联的众所周知的端口已打开，但是一旦发动了攻击，监控状态的防火墙会拒绝这些请求，因为它们不是从内部来的。根据通信是否来源于内部，应用程序层防火墙可能会动态地打开端口。

应用程序层防火墙功能有助于减轻由 IP 欺骗、DoS、一些应用程序层攻击、网络侦察和病毒/特洛伊木马攻击等造成的风险。应用程序层防火墙的缺点是它需要更多的处理能力并且通常在通过通信时比监控状态的防火墙或静态筛选防火墙的速度慢。在使用应用程序层防火墙时务必注意的是确定防火墙可以在应用程序层上做些什么。

应用程序层筛选广泛用于保护公开报露在外的服务。如果您的组织有收集信用卡号和其他有关客户的个人信息的联机存储，采取最高级别的措施来保护这些信息是明智的。应用程序层功能可以确保通过端口的通信是适当的。与数据包筛选或监控状态的检查防火墙（它们只是简单地查看端口和源 IP 地址和目标 IP 地址）不一样，支持应用程序层筛选功能的防火墙可以检查来回通过的数据和命令。

支持应用程序层功能的大多数防火墙仅可以对明文通信（如代理意识的消息服务、HTTP 和 FTP）进行应用程序层筛选。请无比记住，支持此功能的防火墙可以控制进出此环境的通信。此功能的另一个优点是在 DNS 通信通过防火墙时，可以检查它以查找 DNS 特定的命令。此附加的保护层确保用户或攻击者无法在通信的允许类型中隐藏信息。