介绍
防火墙(firewall)是指一种计算机硬件和软件的结合,将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。它采用由系统管理员定义的规则,对一个安全网络和一个不安全网络之间的数据流加以控制。
设置防火墙的目的是保护内部网络资源不被外部非授权用户使用,防止内部网络受到外部非法用户的攻击。防火墙通过检查所有进出内部网络的数据包,检查数据包的合法性,判断该数据包是否会对网络安全构成威胁,为内部网络建立安全边界(security perimeter)。
防火墙的特征
所有进出网络的数据流,都必须经过防火墙。只有授权的数据流才允许通过。
防火墙的组成
防火墙系统通常由包过滤路由器和应用级网关组成。包过滤路由器在网络层工作,根据设定的规则对数据包进行过滤;而应用级网关则在工作在应用层,通过代理服务对应用层通信流进行监控和控制。这两种技术的结合使得防火墙能够提供更加全面和有效的安全防护。
包过滤路由器:包过滤防火墙实际上基于路由器,因此它也称为筛选路由器。包过滤防火墙工作在网络层,有选择地让数据包在内部网和外部网之间进行交换。只有满足过滤逻辑的数据包才被转发到相应的目的出口端,其余数据包则从数据流中丢弃。
应用级网关:应用级网关是基于代理服务的防火墙,是运行在代理服务器上的一些特定的应用程序或服务器程序。应用级网关工作在应用层,掌握着应用系统中可用作安全决策的全部信息。通过对每种应用服务编制专门的代理程序来监视和控制应用层通信流
