防火牆技術

古，寓砌磚牆，旦火災，夠防止火勢蔓延寓。網路，戶訪。，訪該網路交互。，該網路插介系統，豎屏障。屏障阻斷網路網路威脅侵，提供扼守網路審計卡，古防火磚牆類似，屏障“防火牆”。

防火牆技術建網路技術息技術基礎技術。系統，保護網路網路，訪控制，阻止非息訪傳遞。防火牆非單純軟體硬體，質軟體硬體組策略集合。

防火牆遵循基準則。，拒絕未允令。防火牆審查基礎逐項審閱，服務請求操逐審查符合允令執，操保證計算提供切辦。反言，戶申請服務服務量限，提減弱。二，允未拒絕 令。防火牆傳遞息按照約令執，逐項審查杜絕潛危害令，缺陷優，增。

防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂“防火牆”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網路，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火牆（FireWall）成為近年來新興的保護計算機網路安全技術性措施。它是一種隔離控制技術，在某個機構的網路和不安全的網路（如Internet）之間設置屏障，阻止對信息資源的非法訪問，也可以使用防火牆阻止重要信息從企業的網路上被非法輸出。作為Internet網的安全性保護軟體，FireWall已經得到廣泛的應用。通常企業為了維護內部的信息系統安全，在企業網和Internet間設立FireWall軟體。企業信息系統對於來自Internet的訪問，採取有選擇的接收方式。它可以允許或禁止一類具體的IP地址訪問，也可以接收或拒絕TCP/IP上的某一類具體的應用。如果在某一台IP主機上有需要禁止的信息或危險的用戶，則可以通過設置使用FireWall過濾掉從該主機發出的包。如果一個企業只是使用Internet的電子郵件和WWW伺服器向外部提供信息，那麼就可以在FireWall上設置使得只有這兩類應用的數據包可以通過。這對於路由器來說，就要不僅分析IP層的信息，而且還要進一步了解TCP傳輸層甚至應用層的信息以進行取捨。FireWall一般安裝在路由器上以保護一個子網，也可以安裝在一台主機上，保護這台主機不受侵犯。

隨著技術的進步和防火牆應用場景的不斷延伸，現防火牆按照不同的使用場景主要可以分成以下四類。

過濾防火牆

過濾防火牆，顧名思義，就是在計算機網路中起一個過濾的作用。這種防火牆會根據已經預設好的過濾規則，對在網路中流動的數據包進行過濾行為。如果符合過濾規則的數據包會被放行，如果數據包不滿足過濾規則，就會被刪除。數據包的過濾規則是基於數據包報審的特徵的。防火牆通過檢查數據包的源頭 IP 地址，目的IP地址，數據包遵守的協議，埠號等特徵來完成。第一代的防火牆就屬於過濾防火牆。

應用網關防火牆

已經介紹了的過濾防火牆在 OSI七層協議中主要工作在數據鏈路層和 IP 層。與之不同的是，應用網關防火牆主要工作在最上層應用層。不僅如此，相比於基於過濾的防火牆來說，應用網關防火牆最大的特點是有一套自己的邏輯分析。基於這個邏輯分析，應用網關伺服器在應用層上進行危險數據的過濾，分析內部網路應用層的使用協議，並且對計算機網路內部的所有數據包進行分析，如果數據包沒有應用邏輯則不會被放行通過防火牆。

服務防火牆

上述的兩種防火牆都是應用在計算機網路中來阻擋惡意信息進入用戶的電腦的。服務防火牆則有其他的應用場景，服務防火牆主要用於伺服器的保護中。在現在的應用軟體中，往往需要通過和伺服器連接來獲得完整的軟體體驗。所以服務防火牆也就應運而生。服務防火牆用來防止外部網路的惡意信息進入到伺服器的網路環境中。

監控防火牆

如果說之前介紹的防火牆都是被動防守的話，那麼監控防火牆則是不僅僅防守，還會主動出擊。一方面監控防火牆可以像傳統的防火牆一樣，過濾網路中的有害數據。另一方面，監控防火牆可以主動對數據進行分析和測試，得到網路中是否存在外部攻擊。這種防火牆對內可以過濾，對外可以監控。從技術上來說，是傳統防火牆的重大升級。

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

在具體應用防火牆技術時，還要考慮到兩個方面：

1、防火牆是不能防病毒的，儘管有不少的防火牆產品聲稱其具有這個功能。 2、防火牆技術的另外一個弱點在於數據在防火牆之間的更新是一個難題，如果延遲太大將無法支持實時服務請求。並且，防火牆採用濾波技術，濾波通常使網路的性能降低50%以上，如果為了改善網路性能而購置高速路由器，又會大大提高經濟預算。

總之，防火牆是企業網安全問題的流行方案，即把公共數據和服務置於防火牆外，使其對防火牆內部資源的訪問受到限制。作為一種網路安全技術，防火牆具有簡單實用的特點，並且透明度高，可以在不修改原有網路應用系統的情況下達到一定的安全要求。

網路安全屏障

防火牆對內部網路環境安全性起著極大的提高意義，它作為阻塞點和控制點過濾那些潛在危險的服務從而降低了網路內部環境的風險。因為所有進入網路內容的信息都是經過防火牆精心過濾過的，所以網路內部環境就非常的安全可靠。例如，NFS 是一個不安全協議，防火牆可以過濾點該信息，不允許該協議進入受保護的網路，這樣外部的攻擊者就無法進入內部網路進行攻擊侵害。防火牆同時可以保護網路免受基於路由的攻擊，如 IP 選項中的源路由攻擊和ICMP 重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

網路安全策略

如果對網路安全配置上以防火牆為中心，就可以讓口令、加密、身份認證、審計等安全軟體配置在防火牆上。防火牆的這種集中安全管理與各個主機分散控制網路安全問題相比更比較經濟實惠。另外，防火牆的集中安全控制也避免了一次一密口令系統和其他的身份認證系統分散在各個主機上的麻煩。

進行監控審計

防火牆有著很好的日誌記錄功能，它會記錄所有經過防火牆訪問過的記錄，更能夠把網路使用情況的數據進行匯總分析，從而得出網路訪問的統計性數據。如果訪問的數據裡面含有可疑性的動作，防火牆會進行報警，顯示網路可能受到的相關的檢測和攻擊方面的數據信息。另外，它還可以通過訪問數據的統計提供某個網路的使用情況和誤用情況，為網路使用需求分析和網路威脅分析提供有價值的參考數據。

防止內部信息的外泄

防火牆可以把內部網路隔離成若干個段，對局部重點網路或敏感網路加強監控，全局網路的安全問題就不會因為局部網路的一段問題而受到牽連。另外，防火牆對 Finger、DNS等服務顯示的內部細節數據進行隱蔽，這樣由於 Finger 顯示的所有用戶的註冊名、真名，最後登錄時間和使用shell 類型等信息就受到保護了，也就降低了外部的攻擊侵入。同樣，防火牆對內部網路中 DNS 信息的阻塞，也避免了主機域名和IP 地址的外泄，有效了保護內部信息的安全。

防火牆的英文名為“FireWall”，它是目前一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組組件集合。防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這裡所講的防火牆的“安全策略”，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單嚮導通性”。

我們通常所說的網路防火牆是借鑒了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網（LAN）網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。典型的防火牆具有以下三個方面的基本特性：（一）內部網路和外部網路之間的所有網路數據流都必須經過防火牆。這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道，才可以全面、有效地保護企業網部網路不受侵害。根據美國國家安全局制定的《信息保障技術框架》 ，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和網際網路之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網路的服務和訪問的審計和控制。

典型的防火牆體系網路結構一端連接企事業單位內部的區域網，而另一端則連接著網際網路。所有的內、外部網路之間的通信都要經過防火牆。（二）只有符合安全策略的數據流才能通過防火牆防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台“雙穴主機”，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。

（三）防火牆自身應具有非常強的抗攻擊免疫力：這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關係的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。目前國內的防火牆幾乎被國外的品牌佔據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、聯想、方正等，它們都提供不同級別的防火牆產品。

防火牆的硬體體系結構曾經歷過通用CPU架構、ASIC架構和網路處理器架構，他們各自的特點分別如下：通用CPU架構：通用CPU架構最常見的是基於Intel X86架構的防火牆，在百兆防火牆中Intel X86架構的硬體以其高靈活性和擴展性一直受到防火牆廠商的青睞；由於採用了PCI匯流排介面，Intel X86架構的硬體雖然理論上能達到2Gbps的吞吐量甚至更高，但是在實際應用中，尤其是在小包情況下，遠遠達不到標稱性能，通用CPU的處理能力也很有限。國內安全設備主要採用的就是基於X86的通用CPU架構。ASIC架構：ASIC（Application Specific Integrated Circuit，專用集成電路）技術是國外高端網路設備幾年前廣泛採用的技術。由於採用了硬體轉發模式、多匯流排技術、數據層面與控制層面分離等技術， ASIC架構防火牆解決了帶寬容量和性能不足的問題，穩定性也得到了很好的保證。

ASIC技術的性能優勢主要體現在網路層轉發上，而對於需要強大計算能力的應用層數據的處理則不佔優勢，而且面對頻繁變異的應用安全問題，其靈活性和擴展性也難以滿足要求。由於該技術有較高的技術和資金門檻，主要是國內外知名廠商在採用，國外主要代錶廠商是Netscreen，國內主要代錶廠商為天融信。網路處理器架構：由於網路處理器所使用的微碼編寫有一定技術難度，難以實現產品的最優性能，因此網路處理器架構的防火牆產品難以佔有大量的市場份額。隨著網路處理器的主要供應商Intel、 Broadcom、IBM等相繼出售其網路處理器業務，目前該技術在網路安全產品中的應用已經走到了盡頭。

● ● 支持線速處理，在不影響網路運行情況下，實現無縫部署到現有的網路中 。

● ● 標準的傳統防火牆功能，NGFW 需要擁有傳統防火牆的所有功能，包含包過濾、網路地址轉換（Network Address Translation，NAT）、狀態檢測、虛擬專用網（Virtual Private Network，VPN）等功能 。

● ● 集成入侵防禦系統（Intrusion prevention system，IPS），NGFW 在同一硬體內結成了傳統防火牆和 IPS 的功能，IPS 成為NGFW 的核心部件，不是兩者的簡單疊加，而是功能的無縫融合。NGFW 中防火牆和 IPS 的無縫融合、自動聯動的協作機制將大大提升防禦性能，增強網路安全 性。

● ● 應用識別、控制與可視化，NGFW 與傳統防火牆基於埠和 IP 協議進行應用識別不同，而是會根據深度包檢測引擎識別到的流量在應用層執行訪問控制策略。流量控制不再是單純地阻止或允許特定應用，而是可用來管理寬頻或優先排序應用層流量。深度流量檢測讓管理員可針對單個應用組件執行細粒度策略 。

● ● 智能防火牆，NGFW 可以收集來自防火牆外面的各類信息，用於改進阻塞決定，或優化阻塞規則庫 。

沒有任何一個防火牆的設計能適用於所有的環境。它就似一個防盜門，在通常情況下能起到安全防護的作用，但當有人強行闖入時可能失效。所以在選擇購買時，應根據站點的特點來選擇合適的防火牆。

防火牆的優點

● ● 保護脆弱的服務。通過定義一個中心“扼制點”及過濾不安全的網路服務，防火牆可防止非法用戶進入內部網路，減少內網中主機的風險 。

● ● 控制對系統的訪問。可提供對系統的訪問控制，如允許從外部訪問某些主機，同時禁止訪問另外的主機，允許內部員工使用某些資源而不能使用其他資源等 。

● ● 集中的安全管理。對內網實行集中的安全管理。通過制定安全策略，其安全防護措施可運行於整個內網系統中而無須在每個主機中分別設立。同時還可將內網中需改動的程序都存於防火牆中而不是分散到每個主機中，便於集中保護 。

● ● 增強保密性。可阻止攻擊者獲取攻擊網路系統的有用信息 。

● ● 有效地記錄Internet 上的活動。因為所有進出信息都必須通過防火牆，所以非常便於收集關於系統和網路使用和誤用的信息。

防火牆的不足之處

● ● 不能防範來自內部的攻擊。對內部用戶偷竊數據，破壞硬體和軟體等行為無能為力 。

● ● 不能防範不通過它的連接。對有意繞過它進/出內網的用戶或數據無法阻止，從而給系統帶來威脅，如用戶可以將數據複製到磁碟中帶出內網 。

● ● 不能防範未知的威脅。能較好地防備已知的威脅，但不能自動防禦所有新的威脅 。

● ● 不能完全防範病毒的破壞 。

● ● 為了提高安全性，限制和關閉了一些有用但存在安全缺陷的網路服務，給用戶帶來了使用的不便 。