現在，防火墻最常用于一個組織的內部網絡和互聯網之間。在設置互聯網防火墻的時候，你首先必須決定它的基本結構（假設你已經確定了你的防火墻需求和安全策略，并且決定實施它們）。在本文中，“結構”代表防火墻的各個組成部分（軟件和硬件）的總和，以及它們之間的連通性和功能分配。有兩種防火墻結構，我們稱它們為“單層結構”和“雙層結構”。

在單層結構中

在多層結構中

在確定基本結構（比如主機數量，主機連接方式，每臺主機的任務）之后，下一步就是確定這些主機實現的防火墻功能。最基本的兩種防火墻功能類型是包過濾和應用代理。這些功能可以單獨或者結合使用，并且可以在同一臺或者不同的防火墻主機上實現。現在，包過濾防火墻產品已經融入了一些應用代理的特點，并且通常被稱作狀態驗證包過濾（Stateful Inspection Packet Filter）。如果希望了解更多的關于防火墻功能的細節，請參見《Building Internet Firewalls》[Chapman 95]和《Firewalls Complete》[Goncalves 98]以及《Firewalls fend off invasions from the Net》[Lodin 98]。

關于同時使用包過濾和應用代理，這里有一個很好的理由。某些服務（例如SMTP，HTTP，NTP）通常是十分容易通過包過濾控制的，而其他一些服務（例如DNS，FTP）則可能需要一些只有應用代理才有的更復雜的特性。包過濾的速度很快，應用代理的速度要慢一些。在一些要求高訪問量控制并且對代理性能要求很高的情況下，狀態驗證包過濾或許是一個比較折衷的方案。在任何情況下我們都需要盡量使用這些不同的功能（比如包過濾，代理和狀態驗證），并且將它們應用于合適的地方。

理論上，防火墻結構的設計應該在防火墻硬件和軟件選擇之前。然而，我們發現在一些組織中，一些形式的防火墻已經在運行了。（However, we recognize that in some organizations, some form of firewall may already be in place.）
 

為什么很重要

如果你沒有選擇正確并且有效的防火墻結構，你就可能在使你的組織的安全策略正確執行方面遇到困難。這個設計可以決定那些策略可以被執行，哪些不可以，以及防火墻完成任務的情況等。一旦部署了防火墻，那么，要更改它的結構就是一項困難而昂貴的工作。因此一個有效的，可升級的并且易于管理的防火墻設計就隱含了巨大的價值（節省的費用）。

防火墻系統在安全域的邊界提供一個安全策略執行機制。如果對手可以通過利用其他疏于保護的邊界以獲取對你的網絡的訪問權（比如一個用戶工作站的Modem或者通過合作伙伴的網絡），那么，你在與那個網絡交界處所部署的所有防火墻以及訪問控制邊界都會失效。

怎么做

將環境歸檔

制作和使用圖標在你設計防火墻結構的時候是十分重要的。圖表是一種十分有效的交流手段，它們也是你在之后避免錯誤的絕佳工具。最重要的一條基本原則是“如果你畫不出來，你就無法構建它”。千萬不要忽略或者敷衍這個步驟。一個有效的方法是跟一群有相關知識的人一起用電子白板構建圖表。

確定防火墻功能

現在的防火墻產品所提供的功能有包過濾，應用代理和狀態驗證包過濾。每個功能都包含了一個特定的應用平臺范圍。防火墻應用平臺是特定的硬件和操作系統的結合，防火墻在這個平臺上面運行。在某些情況下，功能和平臺是獨立選擇的，但是在另外一些情況下，確定了其中一個就會影響另外一個的選擇。接下來的部分講述了每種功能及其適用平臺。

包過濾

因為路由器通常分布在有不同安全需求和安全策略的網絡的交界處，因此可以通過在路由器上使用包過濾在可能的情況下實現只允許授權網絡的數據進入。在這些路由器上使用包過濾師一種比較經濟的在現有路由基礎結構上增加防火墻功能的機制。顧名思義，包過濾在路由過程中對指定包進行過濾（丟棄）。對過濾的判斷通常基于單個包的頭部所包含的內容（例如源地址，目的地址，協議，端口等）。某些過濾工具提供依據其他信息過濾的能力，我們將在下面的狀態驗證包過濾中介紹。

通常來說，包過濾路由器提供了最高的防火墻性能。然而，由于它們需要比較低級的配置，需要你了解協議2細節，因此比較難配置。

包過濾通常運行在兩種平臺上

·   作為路由器的通用計算機

·   特殊用途的路由器

下表列舉了每種平臺理論上的優勢和缺點。

我們發現費用在選擇包過濾平臺的過程中并不是的主要因素。

特殊用途路由器的商家已經在他們的路由器產品中加入了包過濾功能，以使他們的產品能夠根據客戶需求和最低的實現成本提供訪問控制。但是，他們只是路由器廠商，并不是安全產品生產商，因此當他們需要在安全功能和路由功能之間進行取舍的時候，他們一定會選擇路由功能。在這樣的情況下，性能是一個路由功能上的問題，而不是安全功能上的。此外，向路由器添加過濾功能可能對性能產生下列消極影響：

·   可能對路由甚至網絡性能產生消極影響

·   可能需要更多的內存

通用計算機以及運行于其上的系統軟件并沒有被設計為象高性能路由器那樣。最常見的選擇通用計算機的原因有： 

·   在同一臺機器上使用防火墻機制和包過濾

·   對于被選擇平臺已經擁有較深入的了解

·   減輕特殊用途路由器的過濾負荷

·   大量的源代碼

應用代理

應用代理是一個在兩個網絡之間的防火墻上運行的應用程序（見圖1-3 "Application proxy"）。

運行代理的主機并不需要作為路由器。當一個客戶程序通過代理建立一個到目的服務器的連接的時候，它首先建立一個到代理服務器的直接連接。然后客戶程序與代理商議，通過代理代表客戶程序與服務器建立連接。如果成功，應該存在兩個連接：一個是客戶程序與代理之間的，另外一個是代理與服務器之間的。一旦連接上，代理就開始將從客戶程序或者服務器接收到的數據轉發給另一方。代理決定所有的連接建立和包轉發，運行代理的主機上的所有路由功能都與代理無關。

圖1-3 "Application proxy"

和包過濾一樣，應用代理可以在特殊的代理機服務器運行，也可以在通用計算機上運行。通常，應用代理比包過濾路由器要慢。但是，應用代理在某些方面天生有著比包過濾路由器更高的安全性。包過濾路由器曾經受到執行缺陷及操作系統漏洞的困擾。由于包過濾能力是“附加”到路由功能上的，因此它們無法更正或補償某些特定類型的路由失敗。

由于要進行更復雜的過濾和訪問控制，，應用代理需要占用大量的系統資源，并且需要更為昂貴的主機來運行它。比如，如果一個UNIX平臺采用了某種防火墻技術，并且需要支持200個并行會話，這臺機器必須能夠支持200個HTTP代理進程并提供合理的性能。再加上100個FTP會話，25個SMTP會話，一些LDAP會話和一些DNS事務，那么，你就需要一臺能夠處理500至1000個代理進程的主機。某些代理通過內核線程來實現（這樣可以明顯的減少資源需求），但是資源需求依舊很高。

狀態驗證和動態包過濾

我們使用術語“狀態驗證或動態包過濾”來指代路由器上一組更有能力的過濾功能。包過濾的限制在于它的過濾決策只基于每個單獨的包的包頭信息，而不考慮任何之前的包。狀態驗證過濾允許有效負荷（信息內容）的集合和前面的包提供的上下文作用于過濾決策。和包過濾一樣，狀態驗證也是作為路由功能的“附加”而實現的，因此執行狀態驗證的主機也必須作為路由器。

狀態驗證的原理機能是性能和安全的折中。作為路由功能的“附加”，狀態驗證提供了比代理更好的性能。它也提供了比簡單的包過濾更高級的防火墻功能。它能夠像代理一樣指定更復雜的訪問控制標準，也能像包過濾一樣基于高質量（比如，準確的）下層路由實現。

需要了解更多關于狀態驗證和動態包過濾的信息，請參閱《Stateful Inspection Firewall Technology Tech Note》（Check Point 98）和《Application Gateways and Stateful Inspection: A Brief Note Comparing and Contrasting.》（Avolio 98）。更多關于所有防火墻功能以及贊成和反對這些功能的原因，請參見《Firewalls and Internet Security》 （Cheswick 94），《Building Internet Firewalls 》（Chapman 95），《Firewalls Complete》（Goncalves 98），《Third Annual Firewall Industry Guide》（ICSA 98），和《Internet Security Policy: A Technical Guide》（NIST 98）。《Firewalls Market Survey》（SC 99）是一篇關于13個廠商的防火墻產品及其支持的功能的摘要。

對于選擇防火墻功能，我們有如下建議：