防火牆在網路中經常是以下圖所示的兩種圖示出現的。左邊那個圖示非常形象,真正像一堵牆一樣。而右邊那個圖示則是從防火牆的過濾機制來形象化的,在圖示中有一個二極體圖示。而二極體我們知道,它具有單嚮導電性,這樣也就形象地說明了防火牆具有單嚮導通性。這看起來與現在防火牆過濾機制有些矛盾,不過它卻完全體現了防火牆初期的設計思想,同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的,而對外部網絡卻總是不信任的,所以最初的防火牆是只對外部進來的通信進行過濾,而對內部網路用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變,不僅對外部網路發出的通信連線要進行過濾,對內部網路用戶發出的部分連線請求和數據包同樣需要過濾,但防火牆仍只對符合安全策略的通信通過,也可以說具有“單嚮導通”性。
防火牆的本義是指古代構築和使用木製結構房屋的時候,為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門,各房間的人如何溝通呢,這些房間的人又如何進去呢?當火災發生時,這些人又如何逃離現場呢?這個門就相當於我們這裡所講的防火牆的“安全策略”,所以在此我們所說的防火牆實際並不是一堵實心牆,而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信,在這些小孔中安裝了過濾機制,也就是上面所介紹的“單嚮導通性”。
我們通常所說的網路防火牆是借鑑了古代真正用於防火的防火牆的喻義,它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網路(LAN)網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。典型的防火牆具有以下三個方面的基本特性:
(一)內部網路和外部網路之間的所有網路數據流都必須經過防火牆
這是防火牆所處網路位置特性,同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道,才可以全面、有效地保護企業網部網路不受侵害。
根據美國國家安全局制定的《信息保障技術框架》,防火牆適用於用戶網路系統的邊界,屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連線處,比如用戶網路和網際網路之間連線、和其它業務往來單位的網路連線、用戶內部網路不同部門之間的連線等。防火牆的目的就是在網路連線之間建立一個安全控制點,通過允許、拒絕或重新定向經過防火牆的數據流,實現對進、出內部網路的服務和訪問的審計和控制。
典型的防火牆體系網路結構如下圖所示。從圖中可以看出,防火牆的一端連線企事業單位內部的區域網路,而另一端則連線著網際網路。所有的內、外部網路之間的通信都要經過防火牆。
(二)只有符合安全策略的數據流才能通過防火牆
防火牆最基本的功能是確保網路流量的合法性,並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起,原始的防火牆是一台“雙穴主機”,即具備兩個網路接口,同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路接口接收上來,按照OSI協定棧的七層結構順序上傳,在適當的協定層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網路接口送出,而對於那些不符合通過條件的報文則予以阻斷。因此,從這個角度上來說,防火牆是一個類似於橋接或路由器的、多連線埠的(網路接口>=2)轉發設備,它跨接於多個分離的物理網段之間,並在報文轉發過程之中完成對報文的審查工作。如下圖:
(三)防火牆自身應具有非常強的抗攻擊免疫力
這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣,它就像一個邊界衛士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆作業系統本身是關鍵,只有自身具有完整信任關係的作業系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能,除了專門的防火牆嵌入系統外,再沒有其它應用程式在防火牆上運行。當然這些安全性也只能說是相對的。
目前國內的防火牆幾乎被國外的品牌占據了一半的市場,國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹,價格上也更具有優勢。防火牆產品中,國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等,國內主流廠商為東軟、天融信、聯想、方正等,它們都提供不同級別的防火牆產品。
相關詞條
-
安全盾防火牆
安全盾防火牆是騰億公司所推出的伺服器防護類軟體,分為安全盾伺服器防火牆和安全盾遊戲防火牆,對市面上各種常見攻擊具有良好的防護效果.
軟體介紹 軟體特色 -
防火牆[網路術語]
防火牆(Firewall),也稱防護牆,是由Check Point創立者Gil Shwed於1993年發明並引入國際網際網路(US5606668(A)19...
基本定義 主要類型 基本特性 使用技巧 相關功能 -
Cisco路由器防火牆安全
Cisco路由器防火牆安全是人民郵電出版社出版的書籍,作者為迪爾,2006年出版。
版權資訊 內容簡介 本書目錄 -
Cisco安全防火牆服務模組解決方案
FWSM的配置 配置FWSM 配置FWSM
圖書信息 作者簡介 內容簡介 目錄 -
網路設備安全與防火牆
1.2 1.3 2.3
圖書簡介: 內容提要: 圖書目錄: -
Web站點安全與防火牆技術
et1.1.1In 保護Web站點安全2.1Web站點安全的重要性2.1.1 Web站點安全策略概述3.1.1制定安全策略的重要性3.1.2安全等級3.2
作品目錄 -
防火牆審計
防火牆審計是指對整個防火牆的功能、設定、管理、環境、弱點、漏洞等進行全面的審計。
什麼是防火牆審計 防火牆審計的原因 審計防火牆的人員 防火牆審計的基本方法和步驟 -
安智防火牆
安智防火牆是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆具有很好的保護作用。一個個人防火牆, 通常軟體套用...
防火牆的定義 為什麼使用防火牆? 防火牆的類型 安智防火牆 安智防火牆的特點