為了克服包過濾模式明顯的安全性不足的問題, 一些包過濾型防火墻廠商推出了狀態包過濾的概念。在包過濾技術的基礎上，通過基于上下文的動態包過濾模塊檢查，增強了安全性檢查。它不再只是分別對每個進來的包簡單地就地址進行檢查，動態包過濾型防火墻在網絡層截獲進來的包，直到足夠的數量，以便能夠確定此試圖連接的有關“狀態”。然后用防火墻系統內核中“專用的檢查模塊”對這些包進行檢查。安全決策所需的相關狀態信息經過這個“專用的檢查模塊”檢查之后，記錄在動態狀態表中，以便對其后的數據包通訊進行安全評估。經過檢查的包穿過防火墻，在內部與外部系統之間建立直接的聯系。

　　盡管基于上下文的狀態包過濾檢查的方法明顯地提高了安全性，但它仍然無法與應用層代理防火墻相比。動態包過濾防火墻的典型代表是CHECKPOINT FIREWAL-1防火墻。下圖顯示的是基于上下文的動態包過濾防火墻的邏輯結構。

三、安全需求分析

　　TCP/ip的靈活設計和Internet的普遍應用為網絡黑客技術的發展提供了基礎，黑客技術很輕易被別有專心或喜歡炫耀的人們把握，由此黑客數量劇增。加之網絡連接點多面廣，客觀上為黑客的入侵提供了較多的切入點。企業計算機網絡中內部網上的信息有許多是屬于機密數據，一旦被不懷好意的黑客竊取或被競爭對手得到，都將帶來難以估量的損失。為了使信息系統在保障安全的基礎上被正常訪問，需要一定的設備來對系統實施保護，保證只有合法的用戶才可以訪問系統。就目前看，能夠實現這種需求的性能價格比最優的設備就是防火墻。

　　本著經濟、高效的原則，有必要將內部網和外部不信任網絡、內部網絡中主要的應用服務器和內部其它網段用防火墻隔離保護，以實現對內部網以及主機系統的訪問控制和邊界安全的集中治理。

　　四、防火墻方案具體實現

　　（一）產品選型原則

　　在進行防火墻產品選型時，除了必須遵循網絡安全體系設計原則外，還要求防火墻至少應包含以下功能：

　　1、訪問控制：通過對特定網段和特定服務建立的訪問控制體系，將絕大多數攻擊阻止在到達攻擊目標之前；

　　2、攻擊監控：通過對特定網段、服務建立的攻擊監控體系，可實時地檢測出絕大多數攻擊，并采取相應的行動（如斷開網絡連接、記錄攻擊過程、跟蹤攻擊源等）；

　　3、加密通訊：主動的加密通訊，可使攻擊者不能了解、修改敏感信息；

　　4、身份認證：良好的認證體系可防止攻擊者假冒合法用戶；

　　5、多層防御：攻擊者在突破第一道防線后，延緩或阻斷其到達攻擊目標；

　　6、隱藏內部信息：使攻擊者不能了解系統內的基本情況；

　　7、安全監控中心：為信息系統提供安全體系治理、監控，保護及緊急情況服務。

　　在實際的網絡中，保障網絡安全與提供高效靈活的網絡服務是矛盾的。從網絡服務的可用性、靈活性和網絡性能考慮，網絡結構和技術實現應該盡可能簡捷，不引入額外的控制因素和資源開銷。但從網絡安全保障考慮，則要求對網絡系統提供服務的種類、時間、對象、地點甚至內容有盡可能多的了解和控制能力，實現這樣附加的安全功能不可避免地要耗費有限的網絡資源或限制網絡資源的使用，從而對網絡系統的性能、服務的使用方式和范圍產生顯著影響。此外，保障網絡安全經常還涉及到額外的硬件、軟件投入及網絡運行治理中的額外投入，由此可見，保障網絡的安全是有代價的。對安全性的追求可以是無限的，但費用也會隨之增長。以防火墻建立一套安全系統，可充分兼顧以下因素：
1、安全性與方便

　　一般來說，網絡使用的方便性會因采用了網絡安全措施而降低。防火墻無論從安裝、配置到策略調整都在同一個GUI界面下完成，治理十分方便快捷，網絡治理員的額外工作強度很小。此外，防火墻內外網卡透明設置也極大地方便了內部用戶，內部工作站（包括服務器）不必增加任何額外的配置。

　　2、安全性與性能

　　對網絡來說，安全措施是靠網絡資源來完成的，它或者是占用主機CPU和內存，或者是占用網絡帶寬，或者是增加信息處理的過程，所有這些都可以導致整體性能降低防火墻擁有獨特的狀態包過濾技術，在安全性和速度之間可以自動找到理想的平衡點。

　　3、安全性與成本

　　采用網絡安全措施或建立網絡安全系統都會增加額外的成本，這里包括購買硬件、軟件的花費，系統設計和實施費用，治理和維護安全系統的費用。

　　（二）防火墻具體實現

　　1、部署邊界防火墻

　　設置邊界防火墻的正確位置應該在內部網絡與外部網絡之間。防火墻設置在此位置上，防火墻的內外網卡分屬于內部和外部網段。內部網絡和外部網絡被完全隔離開，所有來自外部網絡的服務請求只能到達防火墻，防火墻對收到的數據包進行分析后將合法的請求傳送給相應的服務主機，對于非法訪問加以拒絕。內部網絡的情況對于外部網絡的用戶來說是完全不可見的。由于防火墻是內部網絡和外部網絡的唯一通訊信道，因此防火墻可以對所有針對內部網絡的訪問進行具體的記錄，形成完整的日志文件。防火墻要保護的網絡與外部網絡應該只有唯一的連接通路，假如防火墻后還有其它通路，防火墻將被短路，無法完成保護內部網絡的工作。假如內部網絡有多個外部連接，就應該在每個入口處都放置防火墻。

　　設置邊界防火墻，我們可以有效的防范來自外部網絡的攻擊。設置防火墻后內部網與外部網進行了有效的隔離，所有來自外部網絡的訪問請求都要通過防火墻的檢查，安全有了很大的提高。

　　邊界防火墻可以完成以下具體任務：

　　通過源地址過濾，拒絕外部非法IP地址，有效的避免了外部網絡上與業務無關的主機的越權訪問防火墻可以只保留有用的服務，將其他不需要的服務關閉，可將系統受攻擊的可能性降低到最小限度，使黑客無機可乘邊界防火墻可以制定訪問策略，只有被授權的外部主機可以訪問內部網絡的有限的IP地址，保證外部網絡只能訪問內部網絡中必要的資源，與業務無關的操作將被拒絕由于外部網絡對DMZ區主機的所有訪問都要經過防火墻，防火墻可以全面監視外部網絡對內部網絡的訪問活動，并進行具體的記錄，通過分析可以得出可疑的攻擊行為對于遠程登錄的用戶，如telnet等，防火墻利用加強的認證功能，可以有效的防止非法入侵安裝了邊界防火墻后，網絡的安全策略由防火墻集中治理，因此黑客無法通過更改某一臺主機的安全策略來達到控制其他資源訪問權限的目的邊界防火墻可以進行地址轉換工作，外部網絡不能看到內部網絡的結構，使黑客攻擊失去目標以上的內容充分說明，企業的計算機網絡安裝了邊界防火墻后，可以實現內部網絡與外部網絡的有效隔離，防止來自外部網絡的非法攻擊。同時，保證了DMZ區服務器的相對安全性和使用便利性。
2、部署內部防火墻

　　企業的計算機網絡是一個多層次、多節點、多業務的網絡，各節點間的信任程度較低，但由于業務的需要，各節點和服務器群之間又要頻繁的交換數據。通過在服務器群的入口處設置內部防火墻，可以制定完善的安全策略，有效的控制內部網絡的訪問，具體可以實現以下功能：

　　內部防火墻可以精確制定每個用戶的訪問權限，保證內部網絡用戶只能訪問必要的資源對于撥號備份線路的連接，通過強大的認證功能，實現對遠程用戶的治理內部防火墻可以記錄網段間的訪問信息，及時發現誤操作和來自內部網絡其他網段的攻擊行為防火墻通過安全策略的集中治理，每個網段上的主機不必再單獨設立安全策略，降低人為因素導致的網絡安全問題。

　　綜上所述，企業計算機網絡中設置防火墻后，一方面可以有效地防范來自外部網絡的攻擊行為，另一方面可以為內部網絡制定完善的安全訪問策略，從而使得整個企業網絡具有較高的安全級別。

　　五、防火墻方案特點

　　一個優秀的網絡安全保障系統必須建立在對網絡安全需求與環境的客觀分析評估基礎上，在網絡的應用性能及價格和安全保障需求之間確定一個“最佳平衡點”，使得網絡安全保障引入的額外開銷與它所帶來的效益相當。根據企業計算機網絡的具體特點，我們建議采用的防火墻安全系統具有以下幾個特點：

　　1、設備費用比較低廉

　　這主要包括，無須購入成套的安全設備，主要利用軟件而非硬件來實現安全，比如說軟件型的防火墻，使用費用比較低廉的共享版本或者免費版本的軟件。

　　2、人員費用相對較低

　　無須聘請國外專業的安全公司來參與企業內部網的建設，但是可以聘請一到兩個對于安全規劃和實施較有經驗的國內專業安全公司定企業內部網的規劃，同時系統的安全性維護主要由內部技術人員兼職完成。

　　3、統一部署安全策略

　　即在安全專家的指導下，建立統一安全制度，消滅一般由于系統配置不當造成的明顯安全漏洞。

　　4、良好的升級擴展性

　　一套相對安全的安全系統并不意味著永遠保持“相對的安全性”，當企業的要害性業務發展到某個程度時，或許需要提高企業內部網的安全性能，這就要求原先的系統具有良好的可擴展性。這主要體現在，可以通過適當地追加投資大幅度增加企業內部網絡的安全性能。但安全系統的基本模式不發生巨大變化，以免導致治理上的困難。