二、报文过滤技术

    第一代防火墙采用的是在IP层实现的报文过滤技术，它从IP数据包中提取源、目IP地址，源、目端口号，并根据预先制定的策略，检查是否允许来自某个IP地址／端口的或者送往某个IP地址／端口的数据包通过。报文过滤技术通常由路由器来实现。

    这种IP包过滤类型的防火墙仅仅关心单个数据包的IP地址，它不记录任何状态信息。容易被伪造的IP地址所欺骗，安全性不够理想。

    屏蔽路由器是报文过滤防火墙的基本模式，在这种模式中，由路由器来实现，并通过这个路由器将内部网络和外部网络联接，如下图所示：

    综图所述，使用这种形式的防火墙，Web服务器置于内部网络，一旦路由器被欺骗，则内部网络处于危险之中。如果Web服务器被侵入，则与之处于同一冲突域的内部网络的通信都有可能在入侵者的掌握之中。另外，由于屏蔽路由器不提供日志记录功能，管理员无法通过日志审计来了解入侵者的入侵情况。

    壁垒主机是报文过滤防火墙的另一种模式，在这种模式中，在路由器上不一定设置报文过滤规则，但是只能访问内部网络的某一个指定的主机—壁垒主机。壁垒主机运行有特殊安全防范软件的主机．它负责检查所有进出网络的数据包，是外部网络唯一可达的主机 壁垒主机提供日志记录功能，便于审计跟踪。为了提供更安全的日志记录，还可用专门的PC来完成日志记录功能。

    一旦壁垒主机被突破，内部网络也将收到很大威胁，因为Web服务器置于内网。屏蔽子网形式的防火墙系统，克服了壁垒主机防火墙系统使内部网络的安全具有单点安全失效的弱点，为内部网络引入了一个相对复杂的“安全缓冲区” —屏蔽子网。

    屏蔽子网的一端通过一个具有报文过滤功能的外部路由器与外部网络联接，另一端通过一个具有屏蔽功能的内部路由器与内部网络联接，其中放置一些服务器。为了加强其安全性，屏蔽子网中通常还放置壁垒主机。

    屏蔽子网，也被称为非军事区(DMZ，Demilitarised  Zone)，它既不属于内部网络，也不属于外部网络。如果入侵者设法进入这一区域，还是难以窃取内部网络的信息，必须再突破内部路由器且同时得躲过IDS的报警才有可能进入内部网络。也就是说，即使DMZ被突破，也不至于立即殃及内部网络。所以，一般情况下，我们建议将Web服务器放置在DMZ区中。

    目前，网络攻击更多地利用高层协议来伪装自己，仅仅对信息报文的网络层参数进行检测的报文过滤防火墙在安全防护中存在明显的不足。