| 防火墙是位于两个或多个网络之间,执行访问控制策略的一个或一组系统,是一类防范措施的总称。防火墙的作用是防止不希望、未经授权的通信进出被保护的网络,通过边界控制强化内部网络的安全政策。防火墙通常放置在外部网络和内部网络的中间,执行网络边界的过滤封锁机制,如下图所示。
|
|
|
|
|
|
|
| 防火墙通常是运行在一台或多台计算机上的一组特别的服务软件,用于对网络进行防护和通信控制。但是在很多情况下防火墙以专门的硬件形式出现,这种硬件也被称为防火墙,它是安装了防火墙的软件,并针对安全防护进行了专门设计的网络设备,本质上还是软件在进行控制。
|
|
|
| 如果没有防火墙,整个内部网络的安全性就完全依赖于每个主机,因此所有的主机都必须共同达到一致的高度安全水平。也就是说,网络的安全水平是由最低的那个安全水平的主机决定的,这就是所谓的“木桶原理”,木桶能装多少水由最低的地方决定。网络越大,对主机进行管理使它们达到统一的安全级别水平就越不容易。
|
|
|
| 防火墙隔离了内部网络和外部网络,被设计为只运行专用的访问控制软件的设备,而没有其他的服务,因此也就意味着相对少一些缺陷和安全漏洞。此外防火墙也改进了登录和监测功能,从而可以进行专用的管理。如果采用了防火墙,内部网络中的主机将不再直接暴露给来自Internet的攻击。因此对整个内部网络的质的安全管理就变成了防火墙的安全管理,这样使安全管理变得更为方便和易于控制,也使内部网络更加安全。
|
|
|
| 防火墙一般放置在被保护网络的边界,必须做到以下几点才能使防火墙起到安全防护的作用:
|
|
|
| (1)所有进出被保护网络的通信数据流必须经过防火墙。
|
|
|
| (2)所有通过防火墙的通信必须经过安全策略的过滤或防火墙的授权。
|
|
|
|
|
| 总之,防火墙是在被保护网络和非信任网络之间进行访问控制的一个或一组访问控制部件。防火墙是一种逻辑隔离部件,而不是物理隔离部件,它所遵循的原则是在保证网络通畅的情况下,尽可能地保证内部网络的安全。防火墙是在已经制定好的安全策略下进行访问控制,所以一般情况下它是一种静态安全部件,但随着防火墙技术的发展,防火墙通过与IDS进行连动,或其本身集成IDS功能,将能够根据实际的情况进行动态的策略调整。
|
|
|
