什么是防火墙?
防火墙是设置在被保护网络和外部网络之间的一道屏障,设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间,用于在内部网与外部网、专用网与公共网之间,保护网内的计算机及其他节点安全,保护内部网免收非法用户的侵入的,软件和硬件设备的组合。
防火墙就是一个位于计算机和它所连接的网络之间的硬件或软件。该计算机流入和流出的所有网络通信和数据包都要经过此防火墙。它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全策略控制(允许、拒绝、监测)出入网络的信息流,且本身具有较强的抗攻击能力。
防火墙是提供信息安全服务,实现网络和信息安全的基础设施,可通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4部分组成。
防火墙分类
按照软硬件结构,防火墙可分为硬件防火墙、软件防火墙、芯片级防火墙。
按照防范方式和侧重点的不同,防火墙可分为数据包过滤、应用级网关和代理服务等类型。
数据包过滤型防火墙/Packet Filtering 在网络层对数据包进行选择,选择的依据是系统内设置的过滤逻辑,称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、端口号、协议状态等因素,或它们的组合来确定是否允许该数据包通过。过滤规则数目有限,基于给定协议格式里报头等的各项信息内容,类似数据库表项多关键词查询。
工作在ICP/IP的网络层和传输层,与应用层无关。常与应用级网关配合使用。
(至于有没有传输层。此处难下结论,所接触的教材中,写的:1.在网络层对数据包进行选择,2.所根据信息来自IP、TCP、UDP包头,工作在网络层和传输层。所以1的描述是不是不太合理全面。因为检测了传输层的协议TCP和UDP,传输层负责源主机和目的主机端到端的通信,中间路由器等通信节点只会改动IP及下层协议的信息,用于包传输,针对TCP和UDP不会进行改动。所以传输层的工作由端和端之间做。)
应用级网关型防火墙/Application Level Gateways 在应用层上建立协议过滤和转发功能。它针对特定的应用层服务协议使用指定的数据过滤逻辑,并在过滤的同时,对数据包进行必要的分析、登记和统计,形成报告。
工作在ICP/IP的应用层。现实生活中,应用网关通常安装在专用工作站系统上。
代理服务型防火墙/Proxy Service 也叫 链路级网关/Circuit Level Gateways 或 TCP通道/TCP Tunnels,有些书会把其归为应用级网关。它是针对数据包过滤和应用级网关技术存在的缺陷而引入的防火墙技术。
- 用代理服务器将内部网和外部网之间的网络通信链路分为两段,防火墙内外计算机系统间应用层的“链接”由两个终止代理服务器上的“链接”来实现,外部计算机的网路链路只能到达代理服务器,从而起到隔离防火墙内外计算机系统的作用。
- 对过往数据包进行分析、登记和统计,形成报告,同时,当发现被攻击对象时会向网络管理员发出劲爆,并保留攻击痕迹。
工作在OSI模型的应用层。常结合过滤器的功能。
复合型防火墙 将包过滤技术和代理服务技术结合起来,以达到更高的安全性。通常有以下两种解决方案:
-
屏蔽主机防火墙体系结构。在该结构中,分组过滤路由器或防火墙与Internet相连,同时一个堡垒机安装在内部网络,通过过滤规则的设置,使堡垒机成为Internet上其他节点所能到达的唯一节点,这确保了内部网络不受未授权外部用户的攻击。
-
屏蔽子网防火墙体系结构。添加周边网络将内部网络与Internet隔离开。将堡垒机放在一个子网内,形成非军事化区,两个分组过滤路由器放在这一子网的两端,用该子网将内部网络与Internet隔离。详见体系结构屏蔽子网防火墙——ScreenedSubnet
