一.防火墙指的是一个由软件硬件设备组合而成、在内部网外部网专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使InternetIntranet之间建立起一个安全网关(SecurityGateway),从而保护内部网免受非法用的侵入,防火墙主要由服务访问规则、验证工具、包过滤应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件硬件。该计算机流入流出的所有网络通信数据包均要经过此防火墙。

在网络中,所谓“ 防火墙 ”,是指一种将 内部网 和公众访问网(如Internet)分开的方法,它实际上是一种 隔离技术 。防火墙是在两个网络通讯时执行的一种 访问控制 尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的 *** 来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。

二.防火墙与常见相关术语

防火墙又大致分为硬件防火墙和软件防火墙:

1.硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。硬件防火墙一般都有WAN、LAN和DMZ三个端口,还具有各种安全功能,价格比较高,企业以及大型网络使用得比较多。

2.软件防火墙其实就是安全防护软件,比如天网防火墙、金山网镖、蓝盾防火墙等等。
DMZ:全称DemilitarizedZone(隔离区或非军事化区)。该功能主要是为了解决安装防火墙之后外部网络不能访问局域网服务器的问题,比如FTP服务器、视频会议、网络游戏等,DMZ其实就相当于一个网络缓冲区,通过该区域可以有效保护内部网络。目前,市场上的防火墙一般都提供DMZ端口。
×××:全称VirtualPrivateNetwork(虚拟专用网络)。它是指在专用和公共网络(比如Internet)上创建的临时的、安全的专用网络连接,又称为“隧道”,并不是真的专用网络。在防火墙中使用×××功能可以创建临时连接,在网络中进行数据的安全传输。目前,大部分防火墙产品都支持该功能。
SPI:全称StatefulPacketInspection(状态封包检测)。防火墙通过该功能可以过滤掉一些不正常的包,防止恶意***,比如DoS***。
DoS:全称DenialofService(拒绝服务)。通过DoS***可以让服务器超载,导致系统死机,使计算机或网络无法提供正常的服务。如今市场上的防火墙大多都具备阻止DoS***功能,这样可以保证计算机和网络的安全。
IDS:全称IntrusionDetectionSystems(***检测系统)。防火墙通过该功能可以对网络的运行状况进行监视,并检测出可能的***,以保证网络的安全。
访问控制:通过防火墙的访问控制功能可以对内网的计算机进行访问限制,比如限制访问的Internet网站,限制使用的端口号,这样可以保证局域网的安全性。

三.防火墙及防火墙的***

(一)防火墙介绍

防火墙的功能有:

1、过滤掉不安全服务和非法用户

2、控制对特殊站点的访问

3、提供监视Internet安全和预警的方便端点

防火墙并不是万能的,也有很多防火墙无能为力的地方:

1、防火墙防不住绕过防火墙的***。比如,防火墙不限制从内部网络到外部网络的连接,那么,一些内部用户可能形成一个直接通往Internet的连接,从而绕过防火墙,造成一个潜在的backdoor(后门***).恶意的外部用户直接连接到内部用户的机器上,以这个内部用户的机器为跳板,发起绕过防火墙的不受限制的***。

2、防火墙不是防毒墙,不能拦截带病毒的数据在网络之间传播。

3、防火墙对数据驱动式***也无能为力。

因此,我们不能过分依赖防火墙。网络的安全是一个整体,并不是有某一样特别出色的配置。网络安全遵循的是“木桶原则”。

一般防火墙具备以下特点:

1、广泛的服务支持:通过将动态的、应用层的过滤能力和认证相结合,可实现WWW浏览器、HTTP服务器、FTP等;

2、对私有数据的加密支持:保证通过Internet进行虚拟私人网络和商务活动不受损坏;

3、客户端认证只允许指定的用户访问内部网络或选择服务:企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分;

4、反欺骗:欺骗是从外部获取网络访问权的常用手段,它使数据包好似来自网络内部。防火墙能监视这样的数据包并能扔掉它们;

5、C/S模式和跨平台支持:能使运行在一平台的管理模块控制运行在另一平台的监视模块。