文档介绍：防火墙的安全性分析
近年来, 网络犯罪的递增、大量黑客网站的诞生，促使人们思考网络的安全性问题。多种网络安全工具也跟着在市场上被炒得火热。其中最受人注目的当属网络安全工具中最早成熟，也是最早产品化的网络防火墙产品了。目前防火墙产品RST
包而无暇顾及其她。袭击者最关怀的是猜想目的主机的ISN。为此，可以运用SMTP的端口(25)，一般它是开放的，邮件可以通过这个端口，与目的主机打开(Open) 一种TCP连接，因而得到它的ISN。在此有效期间，反复这一过程若干次，以便可以猜想和拟定ISN的产生和变化规律，这样就可以使用被切断的可信赖主机的IP地址向目的主机发出连接祈求。祈求发出后，目的主机会觉得它是TCP连接的祈求者，从而给信赖主机发送响应(涉及SYN) ，而信赖主机目前仍忙于解决Flood沉没袭击产生的"合法"祈求，因此目的主机不能得到来自于信赖主机的响应。目前袭击者发出回答响应，并连同预测的目的主机的ISN一同发给目的主机。随着不断地纠正预测的ISN， 袭击者最后会与目的主机建立一种会面。通过这种方式，袭击者以合法顾客的身份登录到目的主机而不需进一步的确认。如果反复实验使得目的主机可以接受对网络的ROOT登录，那么就可以完全控制整个网络。
归纳起来，防火墙安全防护面临威胁的几种重要因素有：SOCK的错误配备；不合适的安全政策； 强力袭击；容许匿名的FTP合同；容许TFTP合同；容许Rlogin命令；容许X－Windows或OpenWindows；端口映射；可加载的NFS合同；容许Win95/NT文献共享；Open端口。
b．破坏防火墙的另一种方式是袭击与干扰相结合。也就是在袭击期间使防火墙始终处在繁忙的状态。防火墙过度的繁忙有时会导致它忘掉履行安全防护的职能，处在失效状态。
C．需要特别注意的是，防火墙也也许被内部袭击。由于安装了防火墙后，随意访问被严格严禁了， 这样内部人员无法在闲暇的时间通过Telnet浏览邮件或使用FTP向外发送信息，个别人会对防火墙不满进而也许袭击它、破坏它，盼望回到从前的状态。这里，袭击的目的常常是防火墙或防火墙运营的操作系统，因此不仅波及网络安全，还波及主机安全问题。
以上分析表白，防火墙的安全防护性能依赖的因素诸多。防火墙并非万能，它最多只能防护通过其自身的非法访问和袭击，而对不经防火墙的访问和袭击则无能为力。从技术来讲，绕过防火墙进入网络并非不也许。
目前大多数防火墙都是基于路由器的数据包分组过滤类型，防护能力差，存在多种网络外部或网络内部袭击防火墙的技术手段。

实现防火墙的技术涉及四大类：网络级防火墙（也叫包过滤型防火墙）、应用级网关、电路级网关和规则检查防火墙。

一般是基于源地址和目的地址、应用或合同以及每个IP
包的端口来作出通过与否的判断。一种路由器便是一种“老式”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定与否将所收到的包转发，但它不能判断出一种IP包来自何方，去向何处。
先进的网络级防火墙可以判断这一点，它可以提供内部信息以阐明所通过的连接状态和某些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了多种规则来表白与否批准或回绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般状况下，默认规则就是规定防火墙丢弃该包。另一方面，通过定义基于TCP或UDP数据包的端标语，防火墙可以判断与否容许建立特定的连接，如Telnet、FTP连接。
下面是某一网络级防火墙的访问控制规则：
(1)(21口)；
(2) (23口)；
(3)容许任何地址的E-mail(25口)；
(4)容许任何WWW数据（80口）通过；
(5)不容许其她数据包进入。
网络级防火墙简洁、速度快、费用低，并且对顾客透明，但是对网络的保护很有限，由于它只检查地址和端口，对网络更高合同层的信息无理解能力。

应用级网关可以检查进出的数据包，通过网关复制传递数据，避免在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关可以理解应用层上的合同，可以做复杂某些的访问控制，并做精细的注册和稽核。但每一种合同需要相应的***，使用时工作量大，效率不如网络级防火墙。
常用的应用级防火墙已有了相应的***， 例如： HTTP、 NNTP、  FTP、Telnet、rlogin、X-windows等，但是，对于新开发的应用，尚没有相应的代