一、防火牆的基本概念
古時候,人們常在寓所之間砌起一道磚牆,一旦火災發生,它能夠防止火勢蔓延到別的寓所。
現在,如果一個網絡接到了Internet上面,它的用戶就可以訪問外部世界並與之通信。但同時,外部世界也同樣可以訪問該網絡並與之交互。
為安全起見,可以在該網絡和Internet之間插入一個中介系統,豎起一道安全屏障。
這道屏障的作用是阻斷來自外部通過網絡對本網絡的威脅和入侵,提供扼守本網絡的安全和審計的唯一關卡,它的作用與古時候的防火磚牆有類似之處,因此我們把這個屏障就叫做“防火牆”。
在電腦中,防火牆是一種裝置,它是由軟件或硬件設備組合而成,通常處於企業的內部局域網與Internet之間,限制Internet用戶對內部網絡的訪問以及管理內部用戶訪問外界的權限。
換言之,防火牆是一個位於被認為是安全和可信的內部網絡與一個被認為是不那么安全和可信的外部網絡(通常是Internet)之間的一個封鎖工具。
防火牆是一種被動的技術,因為它假設了網絡邊界的存在,它對內部的非法訪問難以有效地控制。因此防火牆只適合於相對獨立的網絡,例如企業內部的局域網絡等。
1.過濾不安全服務
基於這個准則,防火牆應封鎖所有信息流,然后對希望提供的安全服務逐項開放,對不安全的服務或可能有安全隱患的服務一律扼殺在萌芽之中。
這是一種非常有效實用的方法,可以造成一種十分安全的環境,因為只有經過仔細挑選的服務才能允許用戶使用。
2.過濾非法用戶和訪問特殊站點
基於這個准則,防火牆應先允許所有的用戶和站點對內部網絡的訪問,然后網絡管理員按照IP地址對未授權的用戶或不信任的站點進行逐項屏蔽。
這種方法構成了一種更為靈活的應用環境,網絡管理員可以針對不同的服務面向不同的用戶開放,也就是能自由地設置各個用戶的不同訪問權限。