10、防火墙设计、实现与维护全解析

防火墙设计、实现与维护全解析

1. 防火墙组合与代际变化

不同的防火墙各有优缺点，合理组合它们可以提供更好的服务。例如，简单的包过滤防火墙可作为第一道防线，让其后的其他防火墙专注于其他功能。随着时间推移，防火墙模型不断发展，形成了代际变化，其典型特征如下表所示：
| 防火墙代际 | 开发年份 | 类型 | 网络 OSI 模型操作层 | 典型实现 | 功能 |
| — | — | — | — | — | — |
| 第一代 | 20 世纪 80 年代 | 包过滤 | 网络/传输 | 硬件或软件 | 根据源地址、目的地址、端口和协议过滤数据包 |
| 第二代 | 20 世纪 90 年代 | 状态检测 | 网络/传输 | 软件 | 根据流量状态过滤数据包，并跟踪数据包上下文 |
| 第三代 | 21 世纪初 | 应用代理 | 应用层 | 软件 | 为每个服务分配特殊代理并相应地重定向流量，分离服务 |
| 下一代 | 2010 年代 | 下一代 | 应用层 | 软件 | 尽可能对数据包的头部和有效负载数据进行更深入分析，融合防火墙和入侵检测功能 |

2. 基本防火墙架构

防火墙可根据系统需求以多种方式实现，从而形成不同类型的架构。以下是四种最常用的防火墙架构：
| 名称 | 方案 | 描述 | 优点 | 缺点 |
| — | — | — | — | — |
| 筛选路由器 | 互联网 - 筛选路由器 - 内部网络 | 最基本、最简单的防火墙架构，路由器本身充当防火墙，在路由器处筛选外部网络数据包，是内部网络资源与其他网络资源的连接点 | 1. 对内部和外部网络可见；2. 易于实现，与其他架构相