防火牆（firewall）

計算機的安全性歷來就是人們熱衷的話題之一。而隨著Internet的廣泛應用，人們在擴充套件了獲取和釋出能力的同時也帶來資訊被汙染和破壞的危險。這些安全問題主要是由網路的開放性、無邊界性、自由性造成的，還包括以下一些因素。

1. 計算機作業系統本身的一些缺陷。

2. 各種服務，如Telnet NFS、DNS和Active X等存在bug和漏洞。

3. TCP/IP協議幾乎沒有考慮安全因素。

4. 追查駭客的攻擊很困難，因為攻擊可能來自Internet上的任何地方。對於一組相互信任的主機，其安全程度是由最弱的一臺主機所決定。一旦被攻破，就會殃及其他主機。

防火牆是網路安全的第一道門戶， 可以實現內部網(信任網路)和外部不可信任網路之間，或者內部網不同網路安全區域之間的隔離與訪問控制，保證網路系統及網路服務的可用性。狹義的防火牆是指安裝了防火牆的軟體或路由器系統，而廣義的防火牆還包括整個網路的安全策略和安全行為。

出於對以上問題的考慮，應該把被保護的網路從開放的、無邊界的網路環境中獨立出來,成為可管理、可控制的、安全的內部網路。只有做到這一點，實現資訊網路的安全才有可能，而最基本的分隔手段就是防火牆。防火牆作為網路安全的第一道門戶， 可以實現內部網(信任網路)與外部不可信任網路(如因特網)之間或是內部網不同網路安全區域的隔離與訪問控制，保證網路系統及網路服務的可用性，有效阻擋來自Internet的外部攻擊。

防火牆是一種綜合性的技術，涉及到計算機網路技術、密碼技術、安全技術、軟體技術、安全協議、網路標準化組織的安全規範以及安全作業系統等多方面。

近幾年，防火牆發展迅速，產品眾多，而且更新換代快，並不斷有新的資訊保安技術和軟體技術等被應用在防火牆的開發上，如包過濾、代理伺服器、虛擬專用網、狀態監測、加密技術和身份認證等。但總的來講，此方面的技術並不十分成熟完善，標準也不健全，實用效果並不十分理想。

文章目錄

前言

防火牆概念

防火牆的組成

防火牆的基本型別

防火牆的設計

防火牆的功能和網路拓撲結構

防火牆的結構

防火牆概念

防火牆一詞來自建築物中的同名設施，從字面意思上說，它可以防止火災從建築物的一部，分蔓延到其他部分。Internet防火牆也要起到同樣的作用，防止Internet上的不安全因素蔓延到自己企業或組織的內部網。防火牆技術早在1994年就RFC1636列為資訊系統安全機制不可缺少的一項措施。

從狹義上說，防火牆是指安裝了防火牆軟體的主機或路由器系統;從廣義上，說防火牆還包括整個網路的安全策略和安全行為。

AT&T的兩位工程師William Cheswich和Steven Bellovin給出了防火牆的明確定義:

1. 所有的從外部到內部或從內部到外部的通訊都必須經過它。

2. 只有內部訪問策略授權的通訊才能被允許透過。

3. 系統本身具有很強的高可靠性。

總之，防火牆是一種網路安全保障手段，是網路通訊時執行的一種訪問控制尺度,其主要目標就是透過控制入、出一個網路的許可權，並迫使所有的連線都經過這樣的檢查，防止一個需要保護的網路遭受外界因素的干擾和破壞。在邏輯.上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監視了內部網路和Internet 之間的任何活動，保證了內部網路的安全;

在物理實現.上，防火牆是位於網路特殊位置的一組硬體裝置路由器、計算機或其他特製的硬體裝置。防火牆可以是一一個獨立的系統，也可以在一一個進行網路互連的路由器上實現防火牆。

防火牆的發展共經過了4個階段：

1. 基於路由器的防火牆階段。

2. 使用者化的防火牆工具套階段。

3. 建立在通用作業系統上的防火牆階段。

4. 具有安全作業系統的防火牆階段。

防火牆的組成

防火牆通常包括安全作業系統(保護防火牆的原始碼和檔案免受入侵)、過濾器(外部過濾器保護閘道器不受攻擊、內部過濾器在閘道器被攻破後提供對內網的保護)、閘道器(提供中繼服務，輔助過濾器控制業務流)、域名服務(將內部網路的域名與Internet隔離)、函件處理(保證內網和Internet使用者間的任何函件交換均需經過防火牆)五個部分。

chibohandong