防火墙的概念.docVIP

防火墙的概念 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙，英语为firewall，《英汉证券投资词典》的解释为：金融机构内部将银行业务与证券业务严格区分开来的法律屏障，旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。 当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，顾名思义，是一种隔离设备。防火墙是一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域之间通信流的唯一通道，能根据用户有关的安全策略控制进出网络的访问行为。从专业角度讲，防火墙是位于两个或多个网络间，实施网络访问控制的组件集合。从用户角度讲，防火墙就是被放置在用户计算机与外网之间的防御体系，网络发往用户计算机的所有数据都要经过其判断处理，才决定能否将数据交给计算机，一旦发现数据异常或有害，防火墙就会将数据拦截，从而实现对计算机的保护。防火墙是网络安全策略的组成部分，它只是一个保护装置，通过监测和控制网络间的信息交换和访问行为来实现对网络安全的有效管理，其主要目的就是保护内部网络的安全。 1.2 防火墙的功能 （1）访问控制： ■ 限制未经授权的用户访问本企业的网络和信息资源的措施，访问者必需要能适用现行所有的服务和应用。网络卫士防火墙支持多种应用、服务和协议，支持所有的internet服务，包括安全的web浏览器、电子邮件、ftp、telnet及rpc和udp等，还支持如oracle、sybase、sql服务器数据库访问和real audio，vodlive、netmeeting和internet phone等这样的多媒体应用及internet广播服务。 ■ 提供基于状态检测技术的ip地址、端口、用户和时间的管理控制； ■ 访问控制对象的多种定义方式支持多种方式定义访问控制对象: ip/mask(如/24)，ip区间(如-54)，ip/mask与通配符，ip区间与通配符等，使配置防火墙的安全策略极为方便。 ■ 高效的url和文件级细粒度应用层管理控制；应用层安全控制策略主要针对常用的网络应用协议http和ftp，控制策略可以实现定义访问源对象到目标对象间的常用协议命令通过防火墙的权限，源对象可以是网段、主机。http和ftp的协议端口用户可根据实际情况在策略中定义，协议命令为http和ftp的主要常用命令。通过应用层策略实现了url和文件级的访问控制。 ■ 双向nat，提供ip地址转换和ip及tcp/udp端口映射，实现ip复用和隐藏网络结构：nat在ip层上通过地址转换提供ip复用功能，解决ip地址不足的问题，同时隐藏了内部网的结构，强化了内部网的安全。网络卫士防火墙提供了nat功能，并可根据用户需要灵活配置。当内部网用户需要对外访问时，防火墙系统将访问主体转化为自己，并将结果透明地返回用户，相当于一个ip层代理。防火墙的地址转换是基于安全控制策略的转换，可以针对具体的通信事件进行地址转换。internet用户访问对内部网络中具有保留ip主机的访问，可以利用反向nat实现，即为内部网络主机在防火墙上映射一注册ip地址，这样internet 用户就可以通过防火墙系统访问主机了。映射类型可以为ip级和端口级。端口映射可以通过一个注册ip地址的不同tcp/udp端口映射到多个保留的ip主机。 ■ 用户策略:可以根据企业安全策略，将一次性口令认证与防火墙其它安全机制结合使用，实现对用户访问权限的控制。用户控制策略可以实现用户之间、用户与ip网段或主机间的访问行为，如协议类型、访问时间等，策略控制对象十分灵活。一次性口令认证方式用于控制内部网与外部网之间的高安全级访问行为。 ■ 接口策略:防止外部机器盗用内部机器的ip地址，这通过防火墙的接口策略实现。网络卫士防火墙将接口策略加在相应的接口上，以防止其它接口区域的ip被此接口区域内的主机冒用。如在正常情况