什么是防火墙

防火墙,也称防护墙,是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网。指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障。它是一种保护计算机网络安全的技术性措施,通过在网络边界上建立相应的网络通信监控系统来隔离内部和外部网络,以阻挡来自外部的网络入侵。

在具体应用防火墙技术时,要考虑到两个方面:

一是防火墙是不能防病毒的,尽管有不少的防火墙产品声称其具有这个功能。 二是防火墙技术的另外一个弱点在于数据在防火墙之间的更新是一个难题,如果延迟太大将无法支持实时服务请求。并且,防火墙采用滤波技术,滤波通常使网络的性能降低50%以上,如果为了改善网络性能而购置高速路由器,又会大大提高经济预算。

  • 防火墙的种类
  • 网络级防火墙:一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。
  • 应用级网关:应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。它针对特别的网络应用服务协议即数据过滤协议,并且能够对数据包分析并形成相关的报告。
  • 电路级网关:电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能:代理服务器。
  • 规则检查防火墙:该防火墙结合了包过滤防火墙、电路级网关和应用级网关的特点。它同包过滤防火墙一样,规则检查防火墙能够在OSI网络层上通过IP地址和端口号,过滤进出的数据包。它也象电路级网关一样,能够检查SYN和ACK标记和序列数字是否逻辑有序。当然它也象应用级网关一样,可以在OSI应用层上检查数据包的内容,查看这些内容是否能符合企业网络的安全规则。
  • 防火墙的功能
  • 网络安全的屏障。提高内部网络的安全性,并通过过滤不安全的服务而降低风险。
  • 强化网络安全政策。
  • 监控审计。
  • 数据包过滤。
  • 网络IP地址转换。
  • 虚拟专用网络。
  • 日志记录与事件通知。