网络防火墙功能与结构解析

1.网络防火墙的基本概念

网络防火墙一般部署在内部网络接入Internet的出口处，通过对网间所传递的数据进行分析和控制，只有被认定为正常的网络协议数据才能通过防火墙

2.网络防火墙的网络访问控制功能

网络防火墙最核心的基本功能：网络访问的管理和控制
实现关键：甄别网络访问是否正当——访问控制的决策过程，涉及到三方面：

1. 访问控制规则的设计
2. 访问控制决策的形成
3. 访问控制决策的实施

3.访问控制功能的实现要素

网络防火墙完成完整的访问控制功能，需要三个基本的功能要素：

1. 访问控制规则的配置
2. 基于访问控制规则的访问判决
3. 访问判决的实施

3.1 访问控制规则的配置

访问控制规则所依赖的要素：

1. 网络访问参量：网络访问属性，例如数据包的源ip、源端口、目的ip等
2. 系统状态参量：全局性的系统状态变量，例如系统时间：工作日的9:00~17:00才能访问
3. 自定义参量

访问控制规则=多条规则组成的规则集合——>规则冲突解决方案

3.2 基于访问控制规则的访问判决

根据访问属性执行相应的访问控制规则，得出具体的访问判决结构
基于访问控制规则的访问判决包含三个过程：

1. 控制规则选取阶段：预先知道网络访问的一些属性，才能选取相应的控制规则，比如说两条访问控制规则，分别用于TCP应用和UDP应用，则得先知道网络访问对应于哪种业务类型，tcp还是udp

2. 单规则判决阶段：

   如何获得该规则中的参量：

   1. 读取配置文件…
   2. 全局状态参量：访问全局数据结构或状态查询函数
   3. 网络访问参量值

3. 冲突判决仲裁阶段：判决结果冲突，大多数防火墙采取“否定优先”的方式

3.3 网络访问判决的实施

要对一个网络访问进行控制，首先需要在机制上保证网络防火墙能够截获到该网路访问，如截获一个TCP连接。也就是说，网络防火墙必须运行在网络访问所经的结点或者至少有一个模块运行在相应的节点上。
详细见3.5

4.网络防火墙的逻辑结构

网络防火墙在逻辑上可以分为三大模块：

1. 访问控制规则配置模块：提供一个接口，供网络管理员配置相应的访问控制规则，并将配置结果保存在访问控制规则库中
2. 网络访问截获和控制模块：截获网络访问，向网络访问判决模块询问如何处理该网络访问，待网络访问判决模块返回判决结果后，依据所得到的判决结果对该网络访问实施访问控制，放行还是阻断该网络访问
3. 网络访问判决模块：针对网络访问截获和控制模块提交来的访问判决请求，依据访问控制规则形成访问判决，并将判决结果返回给网络访问截获和控制模块。
   此外还需要一个保存访问控制规则的数据库