什么是防火牆
防火牆也被稱為防護牆,它是一種位於內部網絡與外部網絡之間的網絡安全系統,可以將內部網絡和外部網絡隔離。通常,防火牆可以保護內部/私有局域網免受外部攻擊,並防止重要數據泄露。在沒有防火牆的情況下,路由器會在內部網絡和外部網絡之間盲目傳遞流量且沒有過濾機制,而防火牆不僅能夠監控流量,還能夠阻止未經授權的流量。
在網絡中,所謂“防火牆”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。
除了將內部局域網與外部Internet隔離之外,防火牆還可以將局域網中的普通數據和重要數據進行分離,所以也可以避免內部入侵。
防火牆的工作原理
防火牆有硬件防火牆和軟件防火牆這兩種類型,硬件防火牆允許您通過端口的傳輸控制協議(TCP)或用戶數據報協議(UDP)來定義阻塞規則,例如禁止不必要的端口和IP地址的訪問。軟件防火牆就像互連內部網絡和外部網絡的代理服務器,它可以讓內部網絡不直接與外部網絡進行通信,但是很多企業和數據中心會將這兩種類型的防火牆進行組合,主要是因為這樣做可以更加有效地提升網絡的安全性。
硬件防火牆如何選擇
一、網絡吞吐量
因為防火牆是通過對進入與出去的數據進行過濾來識別是否符合安全策略的,所以在流量比較高時,要求防火牆能以最快的速度及時對所有數據包進行檢測。否則就可能造成比較長的延時,甚至發生死機。所以網絡吞吐量指標非常重要,它體現了防火牆的可用性能,也體現了企業用戶使用防火牆產品的延時代價。如果防火牆對網絡造成較大的延時,給用戶造成較大的損失。
選購防火牆的時候第一個要看的指標就是防火牆的吞吐量。當然,這個吞吐量也不是越大越好。因為吞吐量越大的話,防火牆的價格也就越高。要根據企業的實際情況,如現在接入互聯網的帶寬等因素,來選擇的合適的帶寬。
二、協議的優先級。
現在視頻應用在企業中使用是越來越廣泛。如視頻會議系統、語音電話等等在企業中都很普及。而這些應用都會占用企業比較大的帶寬。如果企業帶寬跟不上的話,這些應用的質量將會受到很大的影響,如通話的質量可能會時斷時續。就好像手機信號差一樣。雖然可以通過提高互聯網的接入速度來改善這種情況,但是這不是首選方案。因為增加帶寬需要企業花費比較大的投資。故最理想的解決方案是對企業的通信流量進行管理。通過防火牆把一些關鍵應用的流量設置為比較高的優先級。在網絡傳輸中,要首先保障這些通信流量能夠優先通過。這就可以明顯改善語音通話等視頻應用的效果。
三、具有一定的擴展性。
企業的網絡不可能永遠的一成不變。隨着企業規模的擴大,公司內部的網絡會不斷的升級,以符合企業日益發展的需要。那么如何考慮呢?
一是為了后續擴展的需要,最好能夠購買那些模塊化設計的防火牆。如此的話,后續增添其他功能的話,只需要購買模塊即可。而不需要更換整個硬件防火牆。也就是說選擇的硬件防火牆系統最好是一個可隨意伸縮的模塊化解決方案,包括從最基本的包過濾器到帶加密功能的VPN型包過濾器,最終到一個獨立的應用網關的等等。只有如此,才能輕松面對企業信息化應用的升級。
二是考慮網絡接口的問題。通常情況下防火牆最基本的配置有兩個網絡接口:內部的和外部的網絡接口。這些接口對應着訪問網絡的信任程度。其中外部網絡接口連接的是不可信賴的網絡,而內部網絡接口連接的是得到信任的網絡。在內部網部署時,連接到外部的接口可能需要和公司的主要部分連接,這時可能比外部網絡的信任度高,但又稍微低於內部網絡的信任度。但是隨着公司因特網商業需求的復雜化,只有兩個接口的防火牆明顯具有局限性,可能無法滿足企業業務方面的需求。如企業可能出於安全的需要,以后很有可能要用到第三個接口DMZ接口。為此為了以后信息化應用升級的考慮,在防火牆選購時,還需要關注是否有足夠豐富的接口;或者考慮以后是否可以通過模塊的形式來增加可用的接口。
文章源自網絡,僅供交流參考