一、防火墙原理
作为近年来新兴的保护计算机网络**技术性措施,防火墙(FireWall)是一种隔离控制技术,在某个机构的网络和不**的网络(如Internet)之间设置屏障,阻止对信息资源的非法访问,也可以使用防火墙阻止**信息从企业的网络上被非法输出。防火墙是一种被动防卫技术,由于它假设了网络的边界和服务,因此对内部的非法访问难以有效地控制,因此,防火墙*适合于相对独立的与外部网络互连途径有限、网络服务种类相对集中的单一网络。
作为Internet网的**性保护软件,FireWall已经得到广泛的应用。通常企业为了维护内部的信息系统**,在企业网和Internet间设立FireWall软件。企业信息系统对于来自Internet的访问,采取有选择的接收方式。它可以允许或禁止一类具体的IP地址访问,也可以接收或拒绝TCP/IP上的某一类具体的应用。如果在某一台IP主机上有需要禁止的信息或危险的用户,则可以通过设置使用FireWall过滤掉从该主机发出的包。如果一个企业只是使用Internet的电子邮件和WWW服务器向外部提供信息,那么就可以在FireWall上设置使得只有这两类应用的数据包可以通过。这对于路由器来说,就要不仅分析IP层的信息,而且还要进一步了解TCP传输层甚至应用层的信息以进行取舍。FireWall一般安装在路由器上以保护一个子网,也可以安装在一台主机上,保护这台主机不受侵犯。
二、防火墙的种类
真正意义下的防火墙有两类:一类被称为标准防火墙;一类叫双家网关。标准防火墙系统包括一个Unix工作站,该工作站的两端各按一个路由器进行缓冲。其中一个路由器的接口是外部世界,即公用网;而另一个则联接内部网。标准防火墙使用专门的软件,并要求较高的管理水平,而且在信息传输上有一定的延迟。而双家网关则是对标准防火墙的扩充,双家网关又称堡垒主机或应用层网关,它是一个单个的系统,但却能同时完成标准防火墙的所有功能。其优点是能运行更复杂的应用,同时防止在互联网和内部系统之间建立的任何直接的连接,可以确保数据包不能直接从外部网络到达内部网络,反之亦然。
随着防火墙技术的进步,在双家网关的基础上又演化出两种防火墙配置:一种是隐蔽主机网关;另一种是隐蔽智能网关(隐蔽子网)。隐蔽主机网关当前也许是一种常见的防火墙配置。顾名思义,这种配置一方面将路由器进行隐蔽,另一方面在互联网和内部网之间安装堡垒主机。堡垒主机装在内部网上,通过路由器的配置,使该堡垒主机成为内部网与互联网进行通信的**系统。目前技术*为复杂而且**级别*高的防火墙当属隐蔽智能网关。所谓隐蔽智能网是将网关隐藏在公共系统之后,它是互联网用户**能见到的系统。所有互联网功能则是经过这个隐藏在公共系统之上的保护软件来进行的。一般来说,这种防火墙是*不容易被破坏的。
从实现原理上分,防火墙的技术包括四大类:网络级防火墙(也叫包过滤型防火墙)、应用级网关、电路级网关和规则检查防火墙。它们之间各有所长,具体使用哪一种或是否混合使用,要看具体需要。
1.网络级防火墙一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙,大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发,但它不能判断出一个IP包来自何方,去向何处。