概念

在網(wǎng)絡之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和軟件，采用由系統(tǒng)管理員定義的規(guī)則，對一個安全網(wǎng)絡和一個不安全網(wǎng)絡之間的數(shù)據(jù)流加以控制。

圖 防火墻示意圖

特征

（1）所有進出網(wǎng)絡的數(shù)據(jù)流，都必須經(jīng)過防火墻。
（2）只有授權的數(shù)據(jù)流才允許通過。
（3）防火墻自身對入侵是免疫的。

目的

保護內(nèi)部網(wǎng)絡資源不被外部非授權用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。

原理

通過檢查所有進出內(nèi)部網(wǎng)絡的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會對網(wǎng)絡安全構成威脅，為內(nèi)部網(wǎng)絡建立安全邊界（Security Perimeter）。

作用

（1）網(wǎng)絡的安全屏障。防火墻能極大地提高內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。服務只有經(jīng)過授權通信才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。同時防火墻可以保護網(wǎng)絡免受基于路由的攻擊。
（2）強化網(wǎng)絡安全策略。通過以防火墻為中心的安全策略方案配置，能將很多安全控制（如：口令、加密、身份認證等）配置在防火墻上。同很多網(wǎng)絡安全策略相比，基于這種安全策略的安全管理更為經(jīng)濟有效。
（3）對網(wǎng)絡存取和訪問進行監(jiān)控審計。當所有的訪問都經(jīng)過防火墻時，防火墻就能夠記錄下這些訪問。同時，提供網(wǎng)絡應用的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶?，并提供網(wǎng)絡是否受到監(jiān)聽和攻擊的詳細信息。
（4）防止內(nèi)部信息的外泄。利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)中重點網(wǎng)段的隔離，從而縮小了局部網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。另外，一個內(nèi)部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索，從而引起外部攻擊者的興趣，甚至暴露了內(nèi)部網(wǎng)絡的某些安全漏洞，使用防火墻就可以隱蔽這些內(nèi)部細節(jié)。

缺點

（1）不能防范惡意的知情者。防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡連接發(fā)送某些信息，但用戶可以將數(shù)據(jù)復制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對于來自知情者的威脅只能要求加強內(nèi)部管理，如主機安全和用戶教育等。
（2）不能防范不通過它的連接。防火墻能夠有效地防止通過它進行傳輸?shù)男畔ⅲ欢鴧s不能防止不通過它而傳輸?shù)男畔?。例如，如果站點允許對防火墻后面的內(nèi)部系統(tǒng)進行撥號訪問，那么防火墻絕對沒有辦法阻止入侵者進行撥號入侵。
（3）不能防備全部的威脅。防火墻被用來防備已知的威脅，如果是一個很好的防火墻設計方案，可以防備新的威脅，但沒有一個防火墻能自動防御所有的新的威脅。
（4）防火墻不能防范病毒。防火墻不能消除網(wǎng)絡上PC機的病毒。

包過濾防火墻（篩選路由器）

基于路由器

工作位置

網(wǎng)絡層

工作原理

有選擇地讓數(shù)據(jù)包在內(nèi)部網(wǎng)和外部網(wǎng)之間進行交換。只有滿足過濾邏輯的數(shù)據(jù)包才被轉發(fā)到相應的目的端口，其余數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。

圖 包過濾的工作流程

規(guī)則

以數(shù)據(jù)包頭部信息為基礎，包括通信的方向（流入還是流出）、協(xié)議的類型（IP、ICMP、TCP等）、IP源地址和目標地址、TCP（UDP）的源端口和目的端口的端口號和IP狀態(tài)信息等。路由器是在訪問控制表（ACL）中讀取該規(guī)則的。

優(yōu)點

速度快而且易于維護，通常作為第一道防線。

缺點

（1）通常沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。而攻擊一個單純的包過濾式的防火墻對黑客來說是比較容易的。
（2）配置繁瑣。
（3）不能在用戶級別上進行過濾，即不能鑒別不同的用戶和防止IP地址盜用。

應用級網(wǎng)關

基于代理服務的防火墻，是運行在代理服務器上的一些特定的應用程序或服務器程序。

工作位置

應用層，掌握著應用系統(tǒng)中可用做安全決策的全部信息。

工作原理

通過對每種應用服務編制專門的代理程序來監(jiān)視和控制應用層通信流。

工作位置

Internet防火墻網(wǎng)關上

功能

在網(wǎng)關控制下允許或拒絕的特定應用程序和特定服務，同時，還可應用于實施較強的數(shù)據(jù)流監(jiān)控、過濾、記錄和報告等。

工作原理

通過對每種應用服務編制專門的代理程序來監(jiān)視和控制應用層通信流。

應用

特定的互聯(lián)網(wǎng)服務，如超文本傳輸（HTTP）、遠程文件傳輸（FTP）等。

配置

代理服務器通常擁有高速緩存，緩存中存有用戶經(jīng)常訪問站點的內(nèi)容，在下一個用戶要訪問同樣的站點時，服務器就用不著重復地去找同樣的內(nèi)容，既節(jié)約了時間也節(jié)約了網(wǎng)絡資源。