在被计算机世界使用之前,防火墙(Firewall)这个词早已被广泛使用。在建筑物中使用不易燃烧的材料建造一些坚固的墙,以阻止火灾时大火的蔓延,这就是防火墙的含义。在计算机世界中,防火墙是一种设备,可使内部网络不受公共网络(互联网)的影响。后来,将计算机防火墙简称为防火墙,它连接受保护的内部网络和互联网。
防火墙作为网络防护的第一道防线,它由软件或由软件和硬件设备组合而成,它位于企业等单位的内部网络与外界网络的边界,限制着外界用户对内部网络的访问以及管理内部用户访问外界网络的权限。
防火墙是一种必不可少的安全增强点,它将不可信任的外部网络同可信任的内部网络隔离开,如图5-1所示。防火墙筛选两个网络间所有的连接,决定哪些传输应该被允许,而哪些应该被禁止,这取决于网络制定的某一形式的安全策略。
图5-1 防火墙示意图
防火墙是在内部网和外部网之间实施安全防范的系统。可认为它是一种访问控制机制,用于确定哪些内部服务对外开放,以及允许哪些外部服务对内部开放。它可以根据网络传输的类型决定IP包是否可以进出企业网、防止非授权用户访问企业内部、允许使用授权机器的用户远程访问企业内部、管理企业内部人员对Internet的访问。
防火墙通过逐一审查收到的数据包,判断它是否有相匹配的过滤规则,即按规则的先后顺序以及每条规则的条件逐项进行比较,直到满足某一条规则的条件,并做出规定的动作(中止或向前转发),从而保护网络的安全。
防火墙主要提供以下4种服务。
(1)服务控制:确定可以访问的网络服务类型。(www.xing528.com)
(2)方向控制:特定服务的方向流控制。
(3)用户控制:内部用户、外部用户所需的某种形式的认证机制。
(4)行为控制:控制如何使用某种特定的服务。
防火墙有个人防火墙与网络防火墙两大类,前者用于个人用户的PC,通常由软件实现,后者则用于保护一个内部网络,可以用软件实现,但通常是专门的硬件设备,如图5-2所示。绝大多数硬件防火墙都具有路由器的功能,可以作为路由器使用,配置方法也与路由器等网络设备类似。不同防火墙的功能差别很大,好的防火墙可以过滤病毒,还可以对BT等常见P2P软件限制下载速度。
图5-2 硬件防火墙
防火墙不是万能的,某些精心设计的攻击能够躲过防火墙的过滤,进入内部网络。另外,有统计数据指出,对网络的攻击很多来自内部网络,在某些单位甚至超过了来自外部网络的攻击,所以使用防火墙并不就意味着万无一失。
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
