防火墙是设置在被保护网络和外部网络之间的一道屏障，以防止发生不可预测的、潜在破坏性的侵入。

1．什么是防火墙？

    防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。 在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

2.使用Firewall的益处：

保护脆弱的服务

    通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如，Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。

控制对系统的访问

    Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如，Firewall允许外部访问特定的Mail Server和Web Server。

集中的安全管理

    Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统，而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法，而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。

增强的保密性

    使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。

记录和统计网络利用数据以及非法使用数据

    Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据，来判断可能的攻击和探测。

策略执行

Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。

3.防火墙的种类

    防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。

数 据 包 过 滤

   数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用，网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备，因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。 数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击；二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。

应 用 级 网 关

    应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。 数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。一旦满足逻辑，则防火墙内外的计算机系统建立直接联系，防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。

代 理 服 务

    代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)，也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的" 链接"，由两个终止代理服务器上的" 链接"来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。此外，代理服务也对过往的数据包进行分析、注册登记，形成报告，同时当发现被攻击迹象时会向网络管理员发出警报，并保留攻击痕迹。

一、防火墙(Firewall)的应用

    Internet的发展给企业带来了革命性的改革和开放，企业正努力通过利用它来提高市场反应速度和办事效率，以便更具竞争力。企业通过Internet，可以从异地取回重要数据，同时又要面对Internet开放带来的数据安全的新挑战和新危险：即客户、销售商、移动用户、异地员工和内部员工的安全访问；以及保护企业的机密信息不受黑客和工业间谍的入侵。在网络系统与Internet的连接中，第一道屏障就是防火墙。防火墙是在两个网络之间执行控制策略的系统（包括硬件和软件），目的是不被非法用户侵入。本质上，它遵循的是一种允许或禁止业务来往的网络通信安全机制，也就是提供可控的过滤网络通讯，只允许授权的通讯。基于Internet体系应用有两大部分：Intranet和Extranet。Intranet是借助Internet的技术和设备在Internet上面构造出企业WWW网，可放入企业全部信息；而Extranet是在电子商务、互相合作的需求下，用Intranet间的通道，可获得其它体系中部分信息。

按照一个企业的安全体系，一般可以在以下位置部署防火墙：

• 局域网内的VLAN之间控制信息流向时；
• Intranet与Internet之间连接时；
• 在广域网系统中，由于安全的需要，总部的局域网可以将各分支机构的局域网看成不安全的系统，（通过公网PSTN，DDN，Frame Relay,X.25等连接）在总部的局域网和各分支机构连接时采用防火墙隔离，并利用VPN构成虚拟专网。
• 总部的局域网和分支机构的局域网是通过Internet连接，需要各自安装防火墙，并利用VPN组成虚拟专网。
• 在远程用户拨号访问时，加入虚拟专网。

防火墙的安全性还要来自其良好的技术性能。一般防火墙应具备以下特点：

• 广泛的服务支持，通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览器、HTTP服务器、FTP、TELNET等；
• 对私有数据的加密支持，保证通过Internet进行虚拟私人网络和商务活动不受损坏；
• 客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；
• 反欺骗，欺骗是从外部获取网络访问权的常用手段，它使数据包好似来自网络内部；

二、防火墙设置的必要性

    为什么要引入防火墙呢?这是因为,传统的子网系统,往往把自己完全暴露在一些本身并不安全的服务——比如NFS和NIS下,暴露在外界主机的侦探和攻击下。这样,子网的安全就完全依赖于各个主机,而且要求各个主机有相同的安全度。而子网越大,越难以保证各主机都有较高的安全度。况且,随着失误变得越来越普遍,很多"入侵"是由于配置或密码错误造成的, 而不是故意的、复杂的攻击。防火墙能提高主机整体的安全性,从而给站点带来了数不尽的好处。下面我们就来简单介绍一下使用防火墙究竟有什么好处。

1、控制不安全的服务

    防火墙可以控制不安全的服务,因为只有授权的协议和服务才能通过防火墙。这就大大降低了子网的暴露度,从而提高了网络的安全度。举个例子,防火墙能防止易受攻击的服务,比如NFS,入出子网。这使得子网免于遭受来自外界的基于该服务的攻击。防火墙还能防止基于路由的攻击策略,防火墙会拒绝这种攻击试探并将情况通知系统管理员。

2、站点访问控制

    防火墙还提供了对站点的访问控制,比如,从外界可以访问某些主机,而另一些主机则能有效地防止非法访问。一个站点应该拒绝外部的访问,除了一些特殊情形,比如邮件服务和信息服务等。由于防火墙不允许访问不需要访问的主机或服务,它在网络的边界形成了一道关卡。如果一个用户很少提供网络服务,或几乎不跟别的站点打交道,防火墙就是他保护自己的最好选择。

3、集中安全保护

    如果一个子网的所有或大部分需要改动的软件以及附加的安全软件能集中地放在防火墙系统中,而不是分散到每个主机中,这样防火墙的保护就相对集中一些,也相对便宜一点儿。尤其对于密码口令系统或其它的身份认证软件等等,放在防火墙系统中更是优于放在每个Internet能访问的机器上。当然,还有一些关于网络安全的处理方法,比如Kerberos[NIST94C],包含了每一主机系统的改动。也许,在某些特定场合,Kerberos 或其它类似的技术比防火墙系统更好一些,但有一点不容忽视,由于只需在防火墙上运行特定的软件,防火墙系统实现起来要简单许多。

4、强化私有权

    对一些站点而言,私有性是很重要的,因为,某些看似不甚重要的信息往往会成为攻击者灵感的源泉。使用防火墙系统,站点可以防止finger以及DNS域名服务。finger会列出当前使用者名单,他们上次登录的时间,以及是否读过邮件等等。但finger同时会不经意地告诉攻击者该系统的使用频率,是否有用户正在使用,以及是否可能发动攻击而不被发现。防火墙也能封锁域名服务信息,从而使Internet外部主机无法获取站点名和IP地址。通过封锁这些信息,可以防止攻击者从中获得另一些有用信息。

5、网络连接的日志记录及使用统计

    当防火墙系统被配置为所有内部网络与外部Internet连接均需经过的安全系统时,防火墙系统就能够对所有的访问作出日志记录。日志是对一些可能的攻击进行分析和防范的十分重要的情报。另外,防火墙系统也能够对正常的网络使用情况作出统计。通过对统计结果的分析,可以使得网络资源到更好的使用。

6、其它安全控制

    各组织机构可以根据本单位的特殊要求来配置防火墙系统,从而自己单位的网络安全运行工作