概念

在網(wǎng)絡(luò)之間執(zhí)行安全控制策略的系統(tǒng)，它包括硬件和軟件，采用由系統(tǒng)管理員定義的規(guī)則，對(duì)一個(gè)安全網(wǎng)絡(luò)和一個(gè)不安全網(wǎng)絡(luò)之間的數(shù)據(jù)流加以控制。

圖 防火墻示意圖

特征

（1）所有進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)流，都必須經(jīng)過防火墻。
（2）只有授權(quán)的數(shù)據(jù)流才允許通過。
（3）防火墻自身對(duì)入侵是免疫的。

目的

保護(hù)內(nèi)部網(wǎng)絡(luò)資源不被外部非授權(quán)用戶使用，防止內(nèi)部受到外部非法用戶的攻擊。

原理

通過檢查所有進(jìn)出內(nèi)部網(wǎng)絡(luò)的數(shù)據(jù)包，檢查數(shù)據(jù)包的合法性，判斷是否會(huì)對(duì)網(wǎng)絡(luò)安全構(gòu)成威脅，為內(nèi)部網(wǎng)絡(luò)建立安全邊界（Security Perimeter）。

作用

（1）網(wǎng)絡(luò)的安全屏障。防火墻能極大地提高內(nèi)部網(wǎng)絡(luò)的安全性，并通過過濾不安全的服務(wù)而降低風(fēng)險(xiǎn)。服務(wù)只有經(jīng)過授權(quán)通信才能通過防火墻，所以網(wǎng)絡(luò)環(huán)境變得更安全。同時(shí)防火墻可以保護(hù)網(wǎng)絡(luò)免受基于路由的攻擊。
（2）強(qiáng)化網(wǎng)絡(luò)安全策略。通過以防火墻為中心的安全策略方案配置，能將很多安全控制（如：口令、加密、身份認(rèn)證等）配置在防火墻上。同很多網(wǎng)絡(luò)安全策略相比，基于這種安全策略的安全管理更為經(jīng)濟(jì)有效。
（3）對(duì)網(wǎng)絡(luò)存取和訪問進(jìn)行監(jiān)控審計(jì)。當(dāng)所有的訪問都經(jīng)過防火墻時(shí)，防火墻就能夠記錄下這些訪問。同時(shí)，提供網(wǎng)絡(luò)應(yīng)用的統(tǒng)計(jì)數(shù)據(jù)。當(dāng)發(fā)生可疑動(dòng)作時(shí)，防火墻能進(jìn)行適當(dāng)?shù)膱?bào)警，并提供網(wǎng)絡(luò)是否受到監(jiān)聽和攻擊的詳細(xì)信息。
（4）防止內(nèi)部信息的外泄。利用防火墻對(duì)內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)內(nèi)部網(wǎng)中重點(diǎn)網(wǎng)段的隔離，從而縮小了局部網(wǎng)絡(luò)安全問題對(duì)全局網(wǎng)絡(luò)造成的影響。另外，一個(gè)內(nèi)部網(wǎng)絡(luò)中不引人注意的細(xì)節(jié)可能包含了有關(guān)安全的線索，從而引起外部攻擊者的興趣，甚至暴露了內(nèi)部網(wǎng)絡(luò)的某些安全漏洞，使用防火墻就可以隱蔽這些內(nèi)部細(xì)節(jié)。

缺點(diǎn)

（1）不能防范惡意的知情者。防火墻可以禁止系統(tǒng)用戶經(jīng)過網(wǎng)絡(luò)連接發(fā)送某些信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去。如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無能為力的。內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。對(duì)于來自知情者的威脅只能要求加強(qiáng)內(nèi)部管理，如主機(jī)安全和用戶教育等。
（2）不能防范不通過它的連接。防火墻能夠有效地防止通過它進(jìn)行傳輸?shù)男畔?，然而卻不能防止不通過它而傳輸?shù)男畔?。例如，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問，那么防火墻絕對(duì)沒有辦法阻止入侵者進(jìn)行撥號(hào)入侵。
（3）不能防備全部的威脅。防火墻被用來防備已知的威脅，如果是一個(gè)很好的防火墻設(shè)計(jì)方案，可以防備新的威脅，但沒有一個(gè)防火墻能自動(dòng)防御所有的新的威脅。
（4）防火墻不能防范病毒。防火墻不能消除網(wǎng)絡(luò)上PC機(jī)的病毒。

包過濾防火墻（篩選路由器）

基于路由器

工作位置

網(wǎng)絡(luò)層

工作原理

有選擇地讓數(shù)據(jù)包在內(nèi)部網(wǎng)和外部網(wǎng)之間進(jìn)行交換。只有滿足過濾邏輯的數(shù)據(jù)包才被轉(zhuǎn)發(fā)到相應(yīng)的目的端口，其余數(shù)據(jù)包則從數(shù)據(jù)流中丟棄。

圖 包過濾的工作流程

規(guī)則

以數(shù)據(jù)包頭部信息為基礎(chǔ)，包括通信的方向（流入還是流出）、協(xié)議的類型（IP、ICMP、TCP等）、IP源地址和目標(biāo)地址、TCP（UDP）的源端口和目的端口的端口號(hào)和IP狀態(tài)信息等。路由器是在訪問控制表（ACL）中讀取該規(guī)則的。

優(yōu)點(diǎn)

速度快而且易于維護(hù)，通常作為第一道防線。

缺點(diǎn)

（1）通常沒有用戶的使用記錄，這樣就不能從訪問記錄中發(fā)現(xiàn)黑客的攻擊記錄。而攻擊一個(gè)單純的包過濾式的防火墻對(duì)黑客來說是比較容易的。
（2）配置繁瑣。
（3）不能在用戶級(jí)別上進(jìn)行過濾，即不能鑒別不同的用戶和防止IP地址盜用。

應(yīng)用級(jí)網(wǎng)關(guān)

基于代理服務(wù)的防火墻，是運(yùn)行在代理服務(wù)器上的一些特定的應(yīng)用程序或服務(wù)器程序。

工作位置

應(yīng)用層，掌握著應(yīng)用系統(tǒng)中可用做安全決策的全部信息。

工作原理

通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序來監(jiān)視和控制應(yīng)用層通信流。

工作位置

Internet防火墻網(wǎng)關(guān)上

功能

在網(wǎng)關(guān)控制下允許或拒絕的特定應(yīng)用程序和特定服務(wù)，同時(shí)，還可應(yīng)用于實(shí)施較強(qiáng)的數(shù)據(jù)流監(jiān)控、過濾、記錄和報(bào)告等。

工作原理

通過對(duì)每種應(yīng)用服務(wù)編制專門的代理程序來監(jiān)視和控制應(yīng)用層通信流。

應(yīng)用

特定的互聯(lián)網(wǎng)服務(wù)，如超文本傳輸（HTTP）、遠(yuǎn)程文件傳輸（FTP）等。

配置

代理服務(wù)器通常擁有高速緩存，緩存中存有用戶經(jīng)常訪問站點(diǎn)的內(nèi)容，在下一個(gè)用戶要訪問同樣的站點(diǎn)時(shí)，服務(wù)器就用不著重復(fù)地去找同樣的內(nèi)容，既節(jié)約了時(shí)間也節(jié)約了網(wǎng)絡(luò)資源。