防火牆(firewall)
1.1.簡介
- 防火牆是由軟件、硬件構成的系統,是一種特殊編程的路由器,用來在兩個網絡之間實施接入控制策略。接入控制策略是由使用防火牆的單位自行制訂的,為的是可以最適合本單位的需要。
- 防火牆內的網絡稱為“可信賴的網絡”(trusted network),而將外部的因特網稱為“不可信賴的網絡”(untrusted network)。
- 防火牆可用來解決內聯網和外聯網的安全問題。
1.2.防火牆在互連網絡中的位置
- 可在防火牆中設置內網中哪些用戶可以訪問因特網,可以訪問因特網中的哪些地址,是否可以訪問圖片等。
1.3.防火牆的功能
- 防火牆的功能有兩個:阻止和允許。
- “阻止”就是阻止某種類型的通信量通過防火牆(從外部網絡到內部網絡,或反過來)。
- “允許”的功能與“阻止”恰好相反。
- 防火牆必須能夠識別通信量的各種類型。不過在大多數情況下防火牆的主要功能是“阻止”。
1.4.防火牆技術一般分為兩類
- 網絡級防火牆——基於數據包的源地址、目標地址、協議和端口等來控制進出流量,但是不能查看數據包的內容;
- 應用級防火牆——基於數據包的源地址、目標地址、協議和端口等來控制用戶名、時間段、內容等方面,能夠直接看到數據包中的內容,也可以防止病毒進入內網。功能比網絡級防火牆強大許多,屬於高級防火牆,能夠進行更多的控制。比如微軟的ISA和TMG防火牆。
1.5.防火牆網絡拓撲結構
- 邊緣防火牆:
這是最簡單的防火牆架構。
- 三向外圍網:
之所以稱為"三向外圍網",是因為防火牆引出了三個接口,分別連接內網、服務器和外部網絡。外部網絡可通過防火牆訪問服務器,但不能訪問內網,而內網卻可以通過防火牆訪問外網。
- 背靠背防火牆:
圖中的 "外圍網絡" 指的是服務器,外部網絡可通過前端防火牆訪問服務器,如果想要訪問內網還需要經過本地主機的防火牆的攔截和控制。這樣外網用戶想要入侵內網需要突破兩層防火牆才能到達內網,所以該結構較安全,一般兩個防火牆應使用不同廠家的。