什么是防火墻

Word什么是防火墻

什么是防火墻

防火墻的英文名為“FireWall”，它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專(zhuān)業(yè)角度講，防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問(wèn)控制的一組組件集合。

防火墻在網(wǎng)絡(luò)中經(jīng)常是以下圖所示的兩種圖標(biāo)出現(xiàn)的。左邊那個(gè)圖標(biāo)非常形象，真正像一堵墻一樣。而右邊那個(gè)圖標(biāo)則是從防火墻的過(guò)濾機(jī)制來(lái)形象化的，在圖標(biāo)中有一個(gè)（二極管）圖標(biāo)。而二極管我們知道，它具有單向?qū)щ娦?，這樣也就形象地說(shuō)明了防火墻具有單向?qū)ㄐ?。這看起來(lái)與現(xiàn)在防火墻過(guò)濾機(jī)制有些矛盾，不過(guò)它卻完全體現(xiàn)了防火墻初期的設(shè)計(jì)思想，同時(shí)也在相當(dāng)大程度上體現(xiàn)了當(dāng)前防火墻的過(guò)濾機(jī)制。因?yàn)榉阑鹱畛醯脑O(shè)計(jì)思想是對(duì)內(nèi)部網(wǎng)絡(luò)總是信任的，而對(duì)外部網(wǎng)絡(luò)卻總是不信任的，所以最初的防火墻是只對(duì)外部進(jìn)來(lái)的通信進(jìn)行過(guò)濾，而對(duì)內(nèi)部網(wǎng)絡(luò)用戶(hù)發(fā)出的通信不作限制。當(dāng)然目前的防火墻在過(guò)濾機(jī)制上有所改變，不僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信連接要進(jìn)行過(guò)濾，對(duì)內(nèi)部網(wǎng)絡(luò)用戶(hù)發(fā)出的部分連接請(qǐng)求和數(shù)據(jù)包同樣需要過(guò)濾，但防火墻仍只對(duì)符合安全策略的通信通過(guò)，也可以說(shuō)具有“單向?qū)ā毙浴?/p>

防火墻的本義是指古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)候，為防止火災(zāi)的發(fā)生和蔓延，人們將堅(jiān)固的石塊堆砌在房屋周?chē)鳛槠琳?，這種防護(hù)構(gòu)筑物就被稱(chēng)之為“防火墻”。其實(shí)與防火墻一起起作用的就是“門(mén)”。如果沒(méi)有門(mén)，各房間的人如何溝通呢，這些房間的人又如何進(jìn)去呢？當(dāng)火災(zāi)發(fā)生時(shí)，這些人又如何逃離現(xiàn)場(chǎng)呢？這個(gè)門(mén)就相當(dāng)于我們這里所講的防火墻的“安全策略”，所以在此我們所說(shuō)的防火墻實(shí)際并不是一堵實(shí)心墻，而是帶有一些小孔的墻。這些小孔就是用來(lái)留給那些允許進(jìn)行的通信，在這些小孔中安裝了過(guò)濾機(jī)制，也就是上面所介紹的“單向?qū)ㄐ浴薄?/p>

我們通常所說(shuō)的網(wǎng)絡(luò)防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火可以使企業(yè)內(nèi)部局域網(wǎng)（LAN）網(wǎng)絡(luò)與Internet之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。典型的防火墻具有以下三個(gè)方面的基本特性：

（一）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻

這是防火墻所處網(wǎng)絡(luò)位置特性，同時(shí)也是一個(gè)前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)企業(yè)網(wǎng)部網(wǎng)絡(luò)不受侵害。

根據(jù)美國(guó)國(guó)家安全局制定的《信息保障技術(shù)框架》，防火墻適用于用戶(hù)網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶(hù)網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶(hù)網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來(lái)單位的網(wǎng)絡(luò)連接、用戶(hù)內(nèi)部網(wǎng)絡(luò)不同部門(mén)之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。

典型的防火墻體系網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。從圖中可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過(guò)防火墻。

（二）只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻

防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開(kāi)始談起，原始的防火墻是一臺(tái)“雙穴主機(jī)”，即具備兩個(gè)網(wǎng)絡(luò)（接口），同時(shí)擁有兩個(gè)網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過(guò)相應(yīng)的網(wǎng)絡(luò)接口接收上來(lái)，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問(wèn)規(guī)則和安全審查，然后將符合通過(guò)條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對(duì)于那些不符合通過(guò)條件的報(bào)文則予以阻斷。因此，從這個(gè)角度上來(lái)說(shuō)，防火墻是一個(gè)類(lèi)似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口>=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個(gè)分離的物理網(wǎng)段之間，并在報(bào)文轉(zhuǎn)發(fā)過(guò)程之中完成對(duì)報(bào)文的審查工作。如下圖：

（三）防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力

這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個(gè)邊界衛(wèi)士一樣，每時(shí)每刻都要面對(duì)黑客的入侵，這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。它之所以具有這么強(qiáng)的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專(zhuān)門(mén)的防火墻嵌入系統(tǒng)外，再?zèng)]有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說(shuō)是相對(duì)的。

目前國(guó)內(nèi)的防火墻幾乎被國(guó)外的品牌占據(jù)了一半的市場(chǎng)，國(guó)外品牌的優(yōu)勢(shì)主要是在技術(shù)和知名度上比國(guó)內(nèi)產(chǎn)品高。而國(guó)內(nèi)防火墻（廠商）對(duì)國(guó)內(nèi)用戶(hù)了解更加透徹，價(jià)格上也更具有優(yōu)勢(shì)。防火墻產(chǎn)品中，國(guó)外主流廠商為思科（Cisco）、Check