是一种特殊编程的路由器,安装在一个网点和网络的其余部分之间。目前是实施访问控制策略。这个访问控制策略是由使用防火墙的单位自行制定的。
防火墙的功能有两个,一个是阻止,一个是允许。阻止是阻止某种类型的流量通过防火墙(从外部网络到内部网络)。
防火墙技术有两类:
①网络级防火墙
用来防止整个网络出现外来非法的入侵。属于这类的有分组过滤和授权服务器。前者检查所有流入本网络的信息,后者拒绝不符合事先制定好的一套准则数据,而后者则是检查用户的登录是否合法。
②应用级防火墙
从应用程序来进行访问控制,通常使用应用网关或代理服务器来区分各种应用。
使用两个局域网的原因:使穿过防火墙的各种分组必须通过分组过滤路由器和应用网关的检查,而没有任何其他的路径。
分组过滤是靠系统管理员所设置的表格来实现的。表格列出了可接受的、必须阻拦的目的站和源站。
TCP的端口号指出了在TCP上面的应用程序,所以如果在因特网进入防火墙的分组过滤器中将所有目的端口号为xx的入分组进行阻拦。但阻拦出分组要麻烦,因为它们有时不使用标准的端口号,有的是动态分配端口号。
应用网关是从应用层的角度来检查每一个分组。例如,一个邮件网关在检查每一个邮件时,要根据邮件的首部或报文的大小,甚至是报文的内容(例如有没有涉及敏感词)来确定该邮件能否通过防火墙。