计算机网络应用
防火墙工作原理
防火墙是一种行之有效的网络安全机制，它在网络内部和外部之间实施安全防范的系统。通过防火墙能够定义一个接入访问控制，要求并且保证仅当流量或数据匹配这个要求时才能穿越防火墙或者接入被保护的系统，从而实现管理和控制网络流量，保护资源的目的。目前，可根据防火墙的工作原理不同，将其分为进行包过滤型和代理服务型两种。1．包过滤防火墙工作原理
包检查模块
是否与过滤规则匹配？I
ter
et
是
审核转发数据包？
是
否否
否
否
发送数据包
是否还有其他规则？
丢弃数据包
包过滤防火墙
结束
计算机
计算机
计算机
图111包过滤防火墙工作原理图如图111所示，包过滤防火墙一般有一个检查模块，该模块在操作系统或路由器转发数据包之前将拦截所有数据包，并对其进行验证，查看是否符合过滤规则。它的具体工作过程如下：数据包从外网传送到防火墙后，防火墙会在数据包从网络层传送到传输层之前，将数据包转发给包检查模块进行处理。首先与第一个过滤规则比较。如果第一个过滤规则相同，则对其进行审核，判断是否转发该数据包，这时审核结果是转发数据包，将数据包发送到传输层进行处理，否则将其丢弃。如果与第一个过滤规则不同，则继续与第二个规则比较，如果相同则对它进行审核，过程与上步相同。如果与第二个过滤规则不同，则继续与下一个过滤规则比较，直到与所有过滤规则比较完成。若不匹配所有过滤规则，则将数据包丢弃。包检查器并不检查数据包的所有内容，它通常只检查下列几项：IP源地址IP目标地址TCP协议或UDP协议的源端口号TCP协议或UDP协议的目标端口号协议类型ICMP消息类型
fTCP协议报头中的ACK（确认）位TCP协议的序列号、确认号2．代理服务型防火墙工作原理代理服务型防火墙是在应用层上实现防火墙功能的，它提供部分与传输有关的状态（IP源地址、IP目标地址），能完全提供与应用相关的状态（协议类型、协议号）和部分传输的信息，它能处理和管理信息。
fr