一、防火墙概述
防火墙是一种装置,它是由软件/硬件设备组合而成,通常处于企业的内部局域网与 Internet 之间,限制 Internet 用户对内部网络的访问以及管理内部用户访问 Internet 的权限。换言之,一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是 Internet)之间提供 一个封锁工具。如果没有防火墙,则整个内部网络的安全性完全依赖于每个主机, 因此,所有的主机都必须达到一致的高度安全水平, 这在实际操作时非常困难。 而防火墙被设计为只运行专用的访问控制软件的设备,没有其他的服务,因此也 就意味着相对少一些缺陷和安全漏洞,这就使得安全管理变得更为方便,易于控 制,也会使内部网络更加安全。 防火墙所遵循的原则是在保证网络畅通的情况下,尽可能保证内部网络的安 全。它是种被动的技术,是一种静态安全部件。
1、防火墙设计的要求
(对防御内部的攻击无用):
- 所有进出网络的数据都要通过防火墙(但不一定要过滤)
- 只允许经过授权的数据流通过防火墙
- 防火墙自身对入侵是免疫的
2、防火墙提供的四种控制机制
- 服务控制
- 方向控制
- 用户控制
- 行为控制
3、防火墙的几个基本功能
- (1)隔离不同的网络,限制安全问题的扩散,对安全集中管理,简化了安全管理的复杂程度。
- (2) 防火墙可以方便地记录网络上的各种非法活动,监视网络的安全性,遇到紧急情况报警。
- (3)防火墙可以作为部署 NAT 的地点,利用 NAT 技术,将有限的 IP 地址动态或静 态地与内部的 IP 地址对应起来,用来缓解地址空间短缺的问题或者隐藏内部网络的结构。
- (4)防火墙是审计和记录 Internet 使用费用的一个最佳地点。
- (5)防火墙也可以作为 IPSec 的平台。
- (6)内容控制功能。根据数据内容进行控制,比如防火墙可以从电子邮件中过滤 掉垃圾邮件,可以过滤掉内部用户访问外部服务的图片信息。只有代理服务器和先进的过滤才能实现。