防火墙及三层交换机的功能与作用.docVIP

防火墙 定义 　　所谓防火墙指的是一个由软件和硬件设备组合而成、在 内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Interne t与Intranet之间建立起一个 安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、 包过滤和应用网关4个 部分组成， 　　防火墙就是一个位于 计算机和它所连接的 网络之间的 软件或 硬件。该计算机流入流出的所有 网络通信均要经过此防火墙。 　　在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种 隔离技术。防火墙是在两个网络通讯时执行的一种 访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的 黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。 编辑本段作用 　　防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如 视频流等，但至少这是你自己的保护选择。 　　古代防火墙作用：古人在建筑物的两侧山墙和后檐墙上，不开门窗，不采用可燃材料，谓之风火檐，也称封火檐。这是防火墙的一种形式。故宫内也有这种防火墙。据清朝《钦定四库全书》中的《国朝宫史》（卷三）记载，雍正五年十一月二十三日（1728年1月4日）雍正皇帝在“上谕”中指出：“宫中火烛最要小心。如日精门、月华门向前一带，围房后俱有做饭值房。虽尔等素知小心，凡事不可不为之预防。可将围房后檐改为风火檐。即十二宫上大房有相近做饭小房之处，着其意改风火檐者亦行更改。”雍正皇帝为了接受皇宫内过去发生火灾的教训，命令工部大臣将三大殿东西配殿以及东六宫、西六宫的两侧山墙和后檐墙统统改为风火檐，全然不用木质材料。这十三处防火墙的总长度约4000米，对于防止故宫内火势蔓延发挥了应有的作用。 编辑本段类型 网络层防火墙 　　网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP 协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由 管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。 　　我们也能以另一种较宽松的 角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的 操作系统及网络设备大多已 内置防火墙功能。 　　较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、 服务类型(如 WWW 或是 FTP)。也能经由 通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。 应用层防火墙 　　应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用 浏览器时所产生的 数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某 应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。 　　防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑 蠕虫或是 木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。 　　XML 防火墙是一种新型态的应用层防火墙。 　　（一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙 　　这是防火墙所处 网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护 企业网部网络不受侵害。 　　根据 美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户 网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。 　　典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单位内部的 局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。 　　（二）只有符合