1.防火墙在OSI/RM中的位置

      防火墙是设置在被保护的网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入，它可通过监测、限制、更改跨越防火墙的数据源，尽可能地对外部屏蔽网络内部信息、结构和运行状况，以此来保护内部网络的安全。

在OSI/RM参考模型中，数据包过滤方式如图1所示。代理服务方式如图2所示。

2 .防火墙的发展史

目前，防火墙的发展过程大致分为5代。

      ● 第一代防火墙：第一代防火墙技术几乎与路由器同时出现，采用了包过滤(packetfilter)技术。

      ● 第二、三代防火墙：1989年，贝尔实验室的DavePresotto和HowardTrickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙一应用层防火墙(代理防火墙)的初步结构。

      ● 第四代防火墙：1992年，USC信息科学院的BobBraden开发出了基于动态包过滤(dynamicpacketfilter)技术第四代防火墙，后业演变为目前所说的状态监视(statefulinspection)技术。1994年，以色列的Checkpoint公司开发出了第一个基于这种技术的商业化的产品。

      ● 第五代防火墙：1998年，NAI公司推出了一种自适应代理(adaptiveproxy)的技术，并在其产品GauntletFirewallforNT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称为第五代防火墙。

从发展过程来看：防火墙从包过滤方式到今天的状态检测。

从技术角度来看：防火墙是作为一种连接内部网络和公众网的网关，提供对内部网络连接的访问控制能力。它能根据预先定义的安全策略，允许合法连接进入内部网，阻止非法连接。防火墙的基本功能包括：访问控制、数据过滤、身份验证、告警、日志和审计。

防火墙技术经历了以下几个方面。

1) 包过滤防火墙(packetfilterfirewall).

      包过滤防火墙是最早的防火墙技术，它根据数据包头信息和过滤规则阻止或允许数据包通过防火墙。当数据包到达防火墙时、防火墙检查数据包包头的源地址、目的地址、源端口、目的端口及其协议类型。若是可信连接，就允许通过；否则丢弃数据包。但它有自身的弱点，因此它一般用于对安全性要求不高、要求高速处理数据的网络路由器上，如表所示。

2)应用代理防火墙(applicationproxy firewall)。

       应用代理防火墙检查数据包的应用数据，并且保持完整的连接状态，它能够分析不同协议的完整的命令集，根据安全规则禁止或允许某些特殊的协议命令；还具有其他像UPL过滤、数据修改、用户验证、日志等功能。

       应用代理防火墙包含三个模块：代理服务器、代理客户和协议分析模块。这种防火墙在通信中执行二传手的角色，很好地从Internet中隔离出受信网络，不允许受信网络和不受信网络之间的直接通信，获得很高的安全。但是由于所有的数据包都要经过防火墙TCP/IP协议栈并返回，因此处理速度较慢，其优缺点如表所示。

3)入侵状态检测防火墙(statefulinspection firewall).

入侵状态检测防火墙也叫自适应防火墙，或动态包过滤防火墙，Checkpoint公司的FireWall-1就是基于这种技术。它根据过去的通信信息和其他应用程序获得的状态信息来动态生成过滤规则，根据新生成的过滤规则过滤新的通信。当新的通信结束时，新生成的过滤规则将自动从规则表中被删除。这种类型防火墙的主要优缺点如表所示。

4)自适应代理防火墙(adaptiveproxyfirewall)、

自适应代理防火墙整合了动态包过滤防火墙技术和应用代理技术，本质上是状态检测防火墙。它通过应用层验证新的连接，若新的连接是合法的，它可以被重定向到网络层。因此这种防火墙同时具有代理防火墙和状态检测防火墙的特性，其优缺点如表所示。