正文

防火墻的結(jié)構(gòu)（防火墻和網(wǎng)閘的區(qū)別）

發(fā)布時(shí)間：2023-03-20 13:24:29 稿源：創(chuàng)意嶺閱讀： 1286 問(wèn)大家

大家好！今天讓創(chuàng)意嶺的小編來(lái)大家介紹下關(guān)于防火墻的結(jié)構(gòu)的問(wèn)題，以下是小編對(duì)此問(wèn)題的歸納整理，讓我們一起來(lái)看看吧。

開(kāi)始之前先推薦一個(gè)非常厲害的Ai人工智能工具，一鍵生成原創(chuàng)文章、方案、文案、工作計(jì)劃、工作報(bào)告、論文、代碼、作文、做題和對(duì)話答疑等等

只需要輸入關(guān)鍵詞，就能返回你想要的內(nèi)容，越精準(zhǔn)，寫(xiě)出的就越詳細(xì)，有微信小程序端、在線網(wǎng)頁(yè)版、PC客戶(hù)端

官網(wǎng)：https://ai.de1919.com

本文目錄:

1、防火墻的種類(lèi)有哪些?
2、防火墻的設(shè)置及構(gòu)造要求是什么?
3、硬件防火墻的基本原理及內(nèi)部構(gòu)造
4、網(wǎng)絡(luò)防火墻是什么？

防火墻的結(jié)構(gòu)（防火墻和網(wǎng)閘的區(qū)別）

一、防火墻的種類(lèi)有哪些?

什么是防火墻？防火墻的類(lèi)型有哪些

1、包過(guò)濾型(Packet Filter):包過(guò)濾通常安裝在路由器上,并且大多數(shù)商用路由器都提供了包過(guò)濾的功能。另外, PC機(jī)上同樣可以安裝包過(guò)濾軟件。包過(guò)濾規(guī)則以IP包信息為基礎(chǔ),對(duì)IP源地址、IP目標(biāo)地址、封裝協(xié)議(TCP/UDP/ICMPIP Tunnel)、端口號(hào)等進(jìn)行...

防火墻包括哪些類(lèi)型?

2、代理服務(wù)型(Proxy Service):代理服務(wù)型防火墻通常由兩部分構(gòu)成:服務(wù)器端程序和客戶(hù)端程序。客戶(hù)端程序與中間節(jié)點(diǎn)(Proxy Server)連接,中間節(jié)點(diǎn)再與要訪問(wèn)的外部服務(wù)器實(shí)際連接。與包過(guò)濾型防火墻不同的是,內(nèi)部網(wǎng)與外部網(wǎng)之間不存在直接的連接,同時(shí)提供日志(Log)及審計(jì)(Audit)服務(wù)。

3、復(fù)合型(Hybrid)防火墻:把包過(guò)濾和代理服務(wù)兩種方法結(jié)合起來(lái),可以形成新的防火墻,所用主機(jī)稱(chēng)為堡壘主機(jī)(Bastion Host),負(fù)責(zé)提供代理服務(wù)。

4、其它防火墻:路由器和各種主機(jī)按其配置和功能可組成各種類(lèi)型的防火墻。雙端主機(jī)防火墻(Dyal-Homed Host Firewall)堡壘主機(jī)充當(dāng)網(wǎng)關(guān),并在其上運(yùn)行防火墻軟件。內(nèi)部網(wǎng)與外部網(wǎng)之間不能直接進(jìn)行通信,必須經(jīng)過(guò)堡壘主機(jī)。屏蔽主機(jī)防火墻(Screened Host Firewall)一個(gè)包過(guò)濾路由器與外部網(wǎng)相連,同時(shí),一個(gè)堡壘主機(jī)安裝在內(nèi)部網(wǎng)上,使堡壘主機(jī)成為外部網(wǎng)所能到達(dá)的唯一節(jié)點(diǎn),確保內(nèi)部網(wǎng)不受外部非授權(quán)用戶(hù)的攻擊。加密路由器(Encrypting Router):加密路由器對(duì)通過(guò)路由器的信息流進(jìn)行加密和壓縮,然后通過(guò)外部網(wǎng)絡(luò)傳輸?shù)侥康亩诉M(jìn)行解壓縮和解密。

防火墻有哪幾種類(lèi)型，常見(jiàn)的防火墻類(lèi)型

目前防火墻產(chǎn)品非常之多，劃分的標(biāo)準(zhǔn)也比較雜。主要分類(lèi)如下：

1. 從軟、硬件形式上分為軟件防火墻和硬件防火墻以及芯片級(jí)防火墻。 2.從防火墻技術(shù)分為 “包過(guò)濾型”和“應(yīng)用代理型”兩大類(lèi)。

3.從防火墻結(jié)構(gòu)分為 < 單一主機(jī)防火墻、路由器集成式防火墻和分布式防火墻三種。

4. 按防火墻的應(yīng)用部署位置分為邊界防火墻、個(gè)人防火墻和混合防火墻三大類(lèi)。

5. 按防火墻性能分為百兆級(jí)防火墻和千兆級(jí)防火墻兩類(lèi)。

防火墻的種類(lèi)分幾種？都有哪些作用？

隨著網(wǎng)絡(luò)的高速發(fā)整，現(xiàn)在使用防火墻的企業(yè)越來(lái)越多，產(chǎn)品也越來(lái)越多，但可能很多人還不了解防火墻，到底能干什么。下面我就簡(jiǎn)單的說(shuō)說(shuō)軟件防火墻到底能干些什么吧。什么是軟件防火墻？

顧名思義，軟件防火墻就是像office等，是一個(gè)安裝在PC上（當(dāng)然，這里是指可以在PC上安裝，但具體使用的時(shí)候最好用服務(wù)器），的一個(gè)軟件，而且一般的防火墻都帶了gateway功能。

一般需要使用防火墻的網(wǎng)絡(luò)拓?fù)鋱D：

交換機(jī)??企業(yè)內(nèi)網(wǎng)。

一般的企業(yè)網(wǎng)絡(luò)結(jié)構(gòu)圖就是，路由器-防火墻

交換機(jī)??DMZ區(qū)。

OK，這樣一個(gè)大致的企業(yè)網(wǎng)絡(luò)拓?fù)鋱D就出來(lái)了。乍一看防火墻在這里就起到了路由的作用。其實(shí)也是，防火墻，在沒(méi)有定致規(guī)則以前，也就是一個(gè)路由。防火墻的作用：

有些人可能會(huì)問(wèn)到以前一些問(wèn)題

軟件防火墻能防黑客嗎？能，前提是，你必須及時(shí)的升級(jí)，及定制正確的策略。

軟件防火墻能防DOS攻擊嗎？能，絕對(duì)可以，現(xiàn)在DOS攻擊已經(jīng)不再可怕。

軟件防火墻能防DDOS攻擊嗎？也許可能?？垂袅渴欠窈艽?，結(jié)合你的代寬。

軟件防火墻能防反射性DDOS攻擊嗎？不能。所謂的反射性DDOS攻擊，所攻擊的對(duì)象不是防火墻，而是你的帶寬，你將面臨的是幾千、幾萬(wàn)甚至更多的服務(wù)器，來(lái)對(duì)你一條10M、100M或者1000M的帶寬來(lái)進(jìn)行攻擊，在理論上，任何防火墻都無(wú)法做到完全防止這種攻擊，至于在使用IPv4的時(shí)候，軟件防火墻還做不到。除非你不用TCP/IP協(xié)議。那么說(shuō)到底，防火墻到底能做些什么呢？在這里就說(shuō)一下比較常用的（結(jié)合上圖）。

??內(nèi)網(wǎng)對(duì)外網(wǎng)：

一般而言，一個(gè)企業(yè)都會(huì)對(duì)用戶(hù)訪問(wèn)外網(wǎng)做限制。如：是否允許使用HTTP、FTP、TELNET，都可以在防火墻中策略、規(guī)則。

??外網(wǎng)對(duì)內(nèi)網(wǎng)：

跟上面相反，內(nèi)網(wǎng)的資源是否允許外網(wǎng)進(jìn)來(lái)防問(wèn)。一般而言是禁止的，即使要限問(wèn)的話，一般也用到VPN（詳見(jiàn)下篇文章）。只要這樣才能最大可能的保證內(nèi)網(wǎng)的安全。

??內(nèi)網(wǎng)與DMZ：

內(nèi)網(wǎng)與DMZ都是屬于防火保護(hù)區(qū)。一般而言都是允許內(nèi)網(wǎng)對(duì)DMZ區(qū)進(jìn)行訪問(wèn)，但不允許DMZ區(qū)對(duì)內(nèi)網(wǎng)訪問(wèn)。

??DMZ與外網(wǎng)：

DMZ區(qū)的服務(wù)器一般都是以NAT到Internet?？梢岳斫獬陕酚善鞯亩丝谟成洹?/p>

??DMZ區(qū)的保護(hù)：

對(duì)從Internet來(lái)訪問(wèn)DMZ數(shù)據(jù)做的一些限制，如：web服務(wù)器只許訪問(wèn)web資源、mail服務(wù)器只允許防問(wèn)mail資源等。

一般而言，這是防火墻建立起來(lái)后常常要做的一些規(guī)則、策略。并不是說(shuō)防火墻只能做到這些。當(dāng)然，還有VPN等防火墻與防火墻的會(huì)話等都是可以做限制的。說(shuō)到這就順便說(shuō)說(shuō)軟件防火墻與硬件防火墻的區(qū)別吧。

其實(shí)說(shuō)到底，軟件防火墻與硬件防火墻是沒(méi)有區(qū)別的，幾乎硬件防火墻有的功能他都有了。不同點(diǎn)在于，軟件防火墻是基于操作系統(tǒng)的如：2000/linux/Sun等。而硬件防火墻呢，是基于硬件的（當(dāng)然它也帶有系統(tǒng)，但并不是像2000/Linux/Sun這類(lèi)的）。一個(gè)簡(jiǎn)單的例子。相信大家都知道刻錄機(jī)吧，它就分為內(nèi)置和外置的。系統(tǒng)配置可以直接影響到刻盤(pán)的的效果，比如內(nèi)置刻錄......>>

公司的防火墻的種類(lèi)有哪些

最好就是有硬件防火墻，現(xiàn)在一般都是下一代應(yīng)用防火墻，不像以前的單純攔截，現(xiàn)在的能夠識(shí)別應(yīng)用，流量控制等等，軟件的應(yīng)該不是很好，可以上百度搜索鑫塔，里面有硬件防火墻的介紹，應(yīng)該可以滿(mǎn)足你的需求。

防火墻的基本類(lèi)型有哪幾種

硬件，軟件，混合式硬件就是成本高，但是安全性好軟件就是便宜，安全性當(dāng)然沒(méi)有硬件的好最好的是混合式，但是也最貴

防火墻產(chǎn)品種類(lèi)有哪幾種

企業(yè)防火墻的種類(lèi)有哪些？是什么，大概用在哪方面.

不同環(huán)境的網(wǎng)絡(luò)，對(duì)于防火墻的要求各不一樣。比如說(shuō)IDS功能、VPN功能，對(duì)于一些小型的公司來(lái)說(shuō)就不需要這些功能。再比如說(shuō)流量和性能、處理能力之間的關(guān)系，究竟多大規(guī)模的網(wǎng)絡(luò)，多大的流量需要多大的性能和多強(qiáng)的處理能力才算是合適呢?那么就需要選購(gòu)者對(duì)于防火墻的選型方面仔細(xì)考慮了。首先大概說(shuō)一下防火墻的分類(lèi)。就防火墻的組成結(jié)構(gòu)而言，可分為以下三種：第一種：軟件防火墻這里指的是網(wǎng)絡(luò)版的軟件防火墻而不是個(gè)人防火墻。個(gè)人防火墻在網(wǎng)上有很多可以免費(fèi)下載的，不需要花錢(qián)買(mǎi)。軟件防火墻運(yùn)行于特定的計(jì)算機(jī)上，它需要客戶(hù)預(yù)先安裝好的計(jì)算機(jī)操作系統(tǒng)的支持，一般來(lái)說(shuō)這臺(tái)計(jì)算機(jī)就是整個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。軟件防火墻就象其它的軟件產(chǎn)品一樣需要先在計(jì)算機(jī)上安裝并做好配置才可以使用。防火墻廠商中做網(wǎng)絡(luò)版軟件防火墻最出名的莫過(guò)于Checkpoint。第二種：硬件防火墻這里說(shuō)的硬件防火墻是指所謂的硬件防火墻。之所以加上"所謂"二字是針對(duì)芯片級(jí)防火墻說(shuō)的了。它們最大的差別在于是否基于專(zhuān)用的硬件平臺(tái)。目前市場(chǎng)上大多數(shù)防火墻都是這種所謂的硬件防火墻，他們都基于PC架構(gòu)，就是說(shuō)，它們和普通的家庭用的PC沒(méi)有太大區(qū)別。在這些PC架構(gòu)計(jì)算機(jī)上運(yùn)行一些經(jīng)過(guò)裁剪和簡(jiǎn)化的操作系統(tǒng)，最常用的有老版本的Unix、Linux和FreeBSD系統(tǒng)。第三種：芯片級(jí)防火墻它們基于專(zhuān)門(mén)的硬件平臺(tái)，沒(méi)有操作系統(tǒng)。專(zhuān)有的ASIC芯片促使它們比其他種類(lèi)的防火墻速度更快，處理能力更強(qiáng)，性能更高。做這類(lèi)防火墻最出名的廠商莫過(guò)于NetScreen.其他的品牌還有FortiNet,算是后起之秀了。對(duì)防火墻的分類(lèi)有了初步的了解之后，選購(gòu)者比較關(guān)心的就是下面所說(shuō)的――這三種防火墻各自的優(yōu)缺點(diǎn)以及這幾種防火墻對(duì)于不同的網(wǎng)絡(luò)環(huán)境的應(yīng)用有何不同。弄清楚這些才能對(duì)防火墻本身有個(gè)比較好的了解，對(duì)于選購(gòu)也是及其有幫助的。在防火墻的應(yīng)用上，除了防火墻的基本功能之外，還根據(jù)企業(yè)用戶(hù)的需要添加了許多其他的擴(kuò)展功能。通常有NAT、DNS、VPN、IDS等。由于軟件防火墻和硬件防火墻是運(yùn)行于一定操作系統(tǒng)上的特定軟件，所以一些防火墻所需要實(shí)現(xiàn)的功能就可以像大家普遍使用的軟件一樣，分成許多個(gè)模塊。一些防火墻的廠商也是這樣做的，他們將一些擴(kuò)展的功能劃分出來(lái)，如果需要使用則另行購(gòu)買(mǎi)安裝。例如IDS功能，有些公司已經(jīng)購(gòu)買(mǎi)了專(zhuān)業(yè)的IDS產(chǎn)品，那么防火墻上單加了一個(gè)IDS的功能則顯得有些多余。那么就可以不再購(gòu)買(mǎi)防火墻中IDS的部分。芯片級(jí)防火墻的核心部分就是ASIC芯片，所有的功能都集成做在這一塊小小的芯片上，可以選擇這些功能是否被啟用。由于有專(zhuān)用硬件的支持，在性能和處理速度上高出前兩種防火墻很多，在擁有全部功能后處理速度還是比較令人滿(mǎn)意的。大多數(shù)人在選購(gòu)防火墻的時(shí)候會(huì)著重于這個(gè)防火墻相對(duì)于其他防火墻都多出什么功能，性能高多少之類(lèi)的問(wèn)題。但對(duì)于防火墻來(lái)說(shuō)，自身的安全性決定著全網(wǎng)的安全性。由于軟件防火墻和硬件防火墻的結(jié)構(gòu)是軟件運(yùn)行于一定的操作系統(tǒng)之上，就決定了它的功能是可以隨著客戶(hù)的實(shí)際需要而做相應(yīng)調(diào)整的，這一點(diǎn)比較靈活。當(dāng)然了，在性能上來(lái)說(shuō)，多添加一個(gè)擴(kuò)展功能就會(huì)對(duì)防火墻處理數(shù)據(jù)的性能產(chǎn)生影響，添加的擴(kuò)展功能越多，防火墻的性能就越下降。由于前兩種防火墻運(yùn)行于操作系統(tǒng)之后，所以它的安全性很大程度上決定于操作系統(tǒng)自身的安全性。無(wú)論是UNIX、Linux、還是FreeBSD系統(tǒng)，它們都會(huì)有或多或少的漏洞，一旦被人取得了控制權(quán)，整個(gè)內(nèi)網(wǎng)的安全性也就無(wú)從談起了，黑客可以隨意修改防火墻上的策略和訪問(wèn)權(quán)限，進(jìn)入內(nèi)網(wǎng)進(jìn)行任意破壞。由于芯片級(jí)防火墻不存在這個(gè)......>>

防火墻的概念是什么防火墻的分類(lèi)

近年來(lái)，隨著普通計(jì)算機(jī)用戶(hù)群的日益增長(zhǎng)，“防火墻”一詞已經(jīng)不再是服務(wù)器領(lǐng)域的專(zhuān)署，大部分家庭用戶(hù)都知道為自己愛(ài)機(jī)安裝各種“防火墻”軟件了。但是，并不是所有用戶(hù)都對(duì)“防火墻”有所了解的，一部分用戶(hù)甚至認(rèn)為，“防火墻”是一種軟件的名稱(chēng)……

到底什么才是防火墻?它工作在什么位置，起著什么作用?查閱歷史書(shū)籍可知，古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)候?yàn)榉乐够馂?zāi)的發(fā)生和蔓延，人們將堅(jiān)固的石塊堆砌在房屋周?chē)鳛槠琳?，這種防護(hù)構(gòu)筑物就被稱(chēng)為“防火墻”(FireWall)。時(shí)光飛梭，隨著計(jì)算機(jī)和網(wǎng)絡(luò)的發(fā)展，各種攻擊入侵手段也相繼出現(xiàn)了，為了保護(hù)計(jì)算機(jī)的安全，人們開(kāi)發(fā)出一種能阻止計(jì)算機(jī)之間直接通信的技術(shù)，并沿用了古代類(lèi)似這個(gè)功能的名字——“防火墻”技術(shù)來(lái)源于此。用專(zhuān)業(yè)術(shù)語(yǔ)來(lái)說(shuō)，防火墻是一種位于兩個(gè)或多個(gè)網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問(wèn)控制的組件 *** 。對(duì)于普通用戶(hù)來(lái)說(shuō)，所謂“防火墻”，指的就是一種被放置在自己的計(jì)算機(jī)與外界網(wǎng)絡(luò)之間的防御系統(tǒng)，從網(wǎng)絡(luò)發(fā)往計(jì)算機(jī)的所有數(shù)據(jù)都要經(jīng)過(guò)它的判斷處理后，才會(huì)決定能不能把這些數(shù)據(jù)交給計(jì)算機(jī)，一旦發(fā)現(xiàn)有害數(shù)據(jù)，防火墻就會(huì)攔截下來(lái)，實(shí)現(xiàn)了對(duì)計(jì)算機(jī)的保護(hù)功能。

防火墻技術(shù)從誕生開(kāi)始，就在一刻不停的發(fā)展著，各種不同結(jié)構(gòu)不同功能的防火墻，構(gòu)筑成網(wǎng)絡(luò)上的一道道防御大堤。

二. 防火墻的分類(lèi)

世界上沒(méi)有一種事物是唯一的，防火墻也一樣，為了更有效率的對(duì)付網(wǎng)絡(luò)上各種不同攻擊手段，防火墻也派分出幾種防御架構(gòu)。根據(jù)物理特性，防火墻分為兩大類(lèi)，硬件防火墻和軟件防火墻。軟件防火墻是一種安裝在負(fù)責(zé)內(nèi)外網(wǎng)絡(luò)轉(zhuǎn)換的網(wǎng)關(guān)服務(wù)器或者獨(dú)立的個(gè)人計(jì)算機(jī)上的特殊程序，它是以邏輯形式存在的，防火墻程序跟隨系統(tǒng)啟動(dòng)，通過(guò)運(yùn)行在Ring0級(jí)別的特殊驅(qū)動(dòng)模塊把防御機(jī)制插入系統(tǒng)關(guān)于網(wǎng)絡(luò)的處理部分和網(wǎng)絡(luò)接口設(shè)備驅(qū)動(dòng)之間，形成一種邏輯上的防御體系。

二、防火墻的設(shè)置及構(gòu)造要求是什么?

根據(jù)防火墻在建筑中所處的位置和構(gòu)造形式，分為橫向防火墻(與建筑平面縱軸垂直)、縱向防火墻〔與平面縱軸平行)、室內(nèi)防火墻、室外防火墻和獨(dú)立防火墻等對(duì)防火墻的耐火極限、燃燒性能、設(shè)置部位和構(gòu)造的要求是:(1)防火墻應(yīng)為不燃燒體，耐火極限不應(yīng)低于4.0h。對(duì)高層民用建筑不應(yīng)低于3。0h(2)防火墻應(yīng)直接設(shè)置在基礎(chǔ)上或耐火性能符合有關(guān)防火設(shè)計(jì)規(guī)范要求的梁上.設(shè)計(jì)防火墻時(shí)，應(yīng)考慮防火墻一側(cè)的屋架、梁、樓板等受到火災(zāi)的影響破壞時(shí)，不致使防火墻倒塌(3)防火墻應(yīng)截?cái)嗳紵莼螂y燃燒休的屋頂結(jié)構(gòu)，且應(yīng)高出燃燒體或難燃燒體的屋面不小于50-防火墻應(yīng)高出不燃燒休屋面不小于40-。但當(dāng)建筑物的屋蓋為耐火極限不低于0.旅的不燃燒體時(shí)，高層建筑屋蓋為耐火極限不低于]Oh的不燃燒體時(shí)，防火墻(包括縱向防火墻)可砌至屋面基層的底部.不必高出屋面(4)建筑物的外墻為難燃燒體時(shí)、防火墻應(yīng)突出難燃燒體墻的外表面40cm;防火帶的寬度，從防火墻中心線起每側(cè)不應(yīng)小于2m(5)防火墻中心距天窗端面的水平距離小于4m,比天窗端面為燃燒休時(shí)，應(yīng)將防火墻加高，使之超過(guò)天窗結(jié)構(gòu)10-50-，以防止火勢(shì)蔓延。(6)防火墻內(nèi)不應(yīng)設(shè)置排氣道，民用建筑如必須設(shè)置時(shí)，其兩側(cè)的墻身截面厚度均不應(yīng)小于12,m(了)防火墻上不應(yīng)開(kāi)設(shè)門(mén)、窗洞口。如必須J干設(shè)時(shí)，應(yīng)采用甲級(jí)防火門(mén)、窗(耐火極限1.2h)，并應(yīng)能自動(dòng)關(guān)閉。(8)輸送可燃?xì)怏w和甲、乙、丙類(lèi)液休的管道不應(yīng)穿過(guò)(高層民用建筑嚴(yán)禁穿過(guò))防火墻。其他管道不宜穿過(guò)防火墻。如必須穿過(guò)時(shí)，應(yīng)采用不然燒體將縫隙填塞密實(shí)，穿過(guò)防火墻處的管道保溫材料應(yīng)采用不燃燒材料(9)建筑物內(nèi)的防火墻不宜設(shè)在轉(zhuǎn)角處。如設(shè)在轉(zhuǎn)角附近，內(nèi)轉(zhuǎn)角兩側(cè)上的IJ、窗洞口之間最近邊緣的水平距離不應(yīng)小干4m;當(dāng)相鄰一側(cè)裝有固定乙級(jí)防火窗時(shí)，距離可不限

三、硬件防火墻的基本原理及內(nèi)部構(gòu)造

防火墻就是一種過(guò)濾塞（目前你這么理解不算錯(cuò)），你可以讓你喜歡的東西通過(guò)這個(gè)塞子，別的玩意都統(tǒng)統(tǒng)過(guò)濾掉。在網(wǎng)絡(luò)的世界里，要由防火墻過(guò)濾的就是承載通信數(shù)據(jù)的通信包。

天下的防火墻至少都會(huì)說(shuō)兩個(gè)詞：Yes或者No。直接說(shuō)就是接受或者拒絕。最簡(jiǎn)單的防火墻是以太網(wǎng)橋。但幾乎沒(méi)有人會(huì)認(rèn)為這種原始防火墻能管多大用。大多數(shù)防火墻采用的技術(shù)和標(biāo)準(zhǔn)可謂五花八門(mén)。這些防火墻的形式多種多樣：有的取代系統(tǒng)上已經(jīng)裝備的TCP/IP協(xié)議棧；有的在已有的協(xié)議棧上建立自己的軟件模塊；有的干脆就是獨(dú)立的一套操作系統(tǒng)。還有一些應(yīng)用型的防火墻只對(duì)特定類(lèi)型的網(wǎng)絡(luò)連接提供保護(hù)（比如SMTP或者HTTP協(xié)議等）。還有一些基于硬件的防火墻產(chǎn)品其實(shí)應(yīng)該歸入安全路由器一類(lèi)。以上的產(chǎn)品都可以叫做防火墻，因?yàn)樗麄兊墓ぷ鞣绞蕉际且粯拥模悍治龀鋈敕阑饓Φ臄?shù)據(jù)包，決定放行還是把他們?nèi)拥揭贿叀?

所有的防火墻都具有IP地址過(guò)濾功能。這項(xiàng)任務(wù)要檢查IP包頭，根據(jù)其IP源地址和目標(biāo)地址作出放行/丟棄決定?？纯聪旅孢@張圖，兩個(gè)網(wǎng)段之間隔了一個(gè)防火墻，防火墻的一端有臺(tái)UNIX計(jì)算機(jī)，另一邊的網(wǎng)段則擺了臺(tái)PC客戶(hù)機(jī)。

當(dāng)PC客戶(hù)機(jī)向UNIX計(jì)算機(jī)發(fā)起telnet請(qǐng)求時(shí)，PC的telnet客戶(hù)程序就產(chǎn)生一個(gè)TCP包并把它傳給本地的協(xié)議棧準(zhǔn)備發(fā)送。接下來(lái)，協(xié)議棧將這個(gè)TCP包“塞”到一個(gè)IP包里，然后通過(guò)PC機(jī)的TCP/IP棧所定義的路徑將它發(fā)送給UNIX計(jì)算機(jī)。在這個(gè)例子里，這個(gè)IP包必須經(jīng)過(guò)橫在PC和UNIX計(jì)算機(jī)中的防火墻才能到達(dá)UNIX計(jì)算機(jī)。

現(xiàn)在我們“命令”（用專(zhuān)業(yè)術(shù)語(yǔ)來(lái)說(shuō)就是配制）防火墻把所有發(fā)給UNIX計(jì)算機(jī)的數(shù)據(jù)包都給拒了，完成這項(xiàng)工作以后，“心腸”比較好的防火墻還會(huì)通知客戶(hù)程序一聲呢！既然發(fā)向目標(biāo)的IP數(shù)據(jù)沒(méi)法轉(zhuǎn)發(fā)，那么只有和UNIX計(jì)算機(jī)同在一個(gè)網(wǎng)段的用戶(hù)才能訪問(wèn)UNIX計(jì)算機(jī)了。

還有一種情況，你可以命令防火墻專(zhuān)給那臺(tái)可憐的PC機(jī)找茬，別人的數(shù)據(jù)包都讓過(guò)就它不行。這正是防火墻最基本的功能：根據(jù)IP地址做轉(zhuǎn)發(fā)判斷。但要上了大場(chǎng)面這種小伎倆就玩不轉(zhuǎn)了，由于黑客們可以采用IP地址欺騙技術(shù)，偽裝成合法地址的計(jì)算機(jī)就可以穿越信任這個(gè)地址的防火墻了。不過(guò)根據(jù)地址的轉(zhuǎn)發(fā)決策機(jī)制還是最基本和必需的。另外要注意的一點(diǎn)是，不要用DNS主機(jī)名建立過(guò)濾表，對(duì)DNS的偽造比IP地址欺騙要容易多了。

服務(wù)器TCP/UDP 端口過(guò)濾

僅僅依靠地址進(jìn)行數(shù)據(jù)過(guò)濾在實(shí)際運(yùn)用中是不可行的，還有個(gè)原因就是目標(biāo)主機(jī)上往往運(yùn)行著多種通信服務(wù)，比方說(shuō)，我們不想讓用戶(hù)采用 telnet的方式連到系統(tǒng)，但這絕不等于我們非得同時(shí)禁止他們使用SMTP/POP郵件服務(wù)器吧？所以說(shuō)，在地址之外我們還要對(duì)服務(wù)器的TCP/ UDP端口進(jìn)行過(guò)濾。

比如，默認(rèn)的telnet服務(wù)連接端口號(hào)是23。假如我們不許PC客戶(hù)機(jī)建立對(duì)UNIX計(jì)算機(jī)（在這時(shí)我們當(dāng)它是服務(wù)器）的telnet連接，那么我們只需命令防火墻檢查發(fā)送目標(biāo)是UNIX服務(wù)器的數(shù)據(jù)包，把其中具有23目標(biāo)端口號(hào)的包過(guò)濾就行了。這樣，我們把IP地址和目標(biāo)服務(wù)器TCP/UDP端口結(jié)合起來(lái)不就可以作為過(guò)濾標(biāo)準(zhǔn)來(lái)實(shí)現(xiàn)相當(dāng)可靠的防火墻了嗎？不，沒(méi)這么簡(jiǎn)單。

客戶(hù)機(jī)也有TCP/UDP端口

TCP/IP是一種端對(duì)端協(xié)議，每個(gè)網(wǎng)絡(luò)節(jié)點(diǎn)都具有唯一的地址。網(wǎng)絡(luò)節(jié)點(diǎn)的應(yīng)用層也是這樣，處于應(yīng)用層的每個(gè)應(yīng)用程序和服務(wù)都具有自己的對(duì)應(yīng)“地址”，也就是端口號(hào)。地址和端口都具備了才能建立客戶(hù)機(jī)和服務(wù)器的各種應(yīng)用之間的有效通信聯(lián)系。比如，telnet服務(wù)器在端口23偵聽(tīng)入站連接。同時(shí)telnet客戶(hù)機(jī)也有一個(gè)端口號(hào)，否則客戶(hù)機(jī)的IP棧怎么知道某個(gè)數(shù)據(jù)包是屬于哪個(gè)應(yīng)用程序的呢？

由于歷史的原因，幾乎所有的TCP/IP客戶(hù)程序都使用大于1023的隨機(jī)分配端口號(hào)。只有UNIX計(jì)算機(jī)上的root用戶(hù)才可以訪問(wèn)1024以下的端口，而這些端口還保留為服務(wù)器上的服務(wù)所用。所以，除非我們讓所有具有大于1023端口號(hào)的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)，否則各種網(wǎng)絡(luò)連接都沒(méi)法正常工作。

這對(duì)防火墻而言可就麻煩了，如果阻塞入站的全部端口，那么所有的客戶(hù)機(jī)都沒(méi)法使用網(wǎng)絡(luò)資源。因?yàn)榉?wù)器發(fā)出響應(yīng)外部連接請(qǐng)求的入站（就是進(jìn)入防火墻的意思）數(shù)據(jù)包都沒(méi)法經(jīng)過(guò)防火墻的入站過(guò)濾。反過(guò)來(lái)，打開(kāi)所有高于1023的端口就可行了嗎？也不盡然。由于很多服務(wù)使用的端口都大于1023，比如X client、基于RPC的NFS服務(wù)以及為數(shù)眾多的非UNIX IP產(chǎn)品等（NetWare/IP）就是這樣的。那么讓達(dá)到1023端口標(biāo)準(zhǔn)的數(shù)據(jù)包都進(jìn)入網(wǎng)絡(luò)的話網(wǎng)絡(luò)還能說(shuō)是安全的嗎？連這些客戶(hù)程序都不敢說(shuō)自己是足夠安全的。

雙向過(guò)濾

OK，咱們換個(gè)思路。我們給防火墻這樣下命令：已知服務(wù)的數(shù)據(jù)包可以進(jìn)來(lái)，其他的全部擋在防火墻之外。比如，如果你知道用戶(hù)要訪問(wèn)Web服務(wù)器，那就只讓具有源端口號(hào)80的數(shù)據(jù)包進(jìn)入網(wǎng)絡(luò)：

不過(guò)新問(wèn)題又出現(xiàn)了。首先，你怎么知道你要訪問(wèn)的服務(wù)器具有哪些正在運(yùn)行的端口號(hào)呢？象HTTP這樣的服務(wù)器本來(lái)就是可以任意配置的，所采用的端口也可以隨意配置。如果你這樣設(shè)置防火墻，你就沒(méi)法訪問(wèn)哪些沒(méi)采用標(biāo)準(zhǔn)端口號(hào)的的網(wǎng)絡(luò)站點(diǎn)了！反過(guò)來(lái)，你也沒(méi)法保證進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)包中具有端口號(hào)80的就一定來(lái)自Web服務(wù)器。有些黑客就是利用這一點(diǎn)制作自己的入侵工具，并讓其運(yùn)行在本機(jī)的80端口！

檢查ACK位

源地址我們不相信，源端口也信不得了，這個(gè)不得不與黑客共舞的瘋狂世界上還有什么值得我們信任呢？還好，事情還沒(méi)到走投無(wú)路的地步。對(duì)策還是有的，不過(guò)這個(gè)辦法只能用于TCP協(xié)議。

TCP是一種可靠的通信協(xié)議，“可靠”這個(gè)詞意味著協(xié)議具有包括糾錯(cuò)機(jī)制在內(nèi)的一些特殊性質(zhì)。為了實(shí)現(xiàn)其可靠性，每個(gè)TCP連接都要先經(jīng)過(guò)一個(gè)“握手”過(guò)程來(lái)交換連接參數(shù)。還有，每個(gè)發(fā)送出去的包在后續(xù)的其他包被發(fā)送出去之前必須獲得一個(gè)確認(rèn)響應(yīng)。但并不是對(duì)每個(gè)TCP包都非要采用專(zhuān)門(mén)的ACK包來(lái)響應(yīng)，實(shí)際上僅僅在TCP包頭上設(shè)置一個(gè)專(zhuān)門(mén)的位就可以完成這個(gè)功能了。所以，只要產(chǎn)生了響應(yīng)包就要設(shè)置ACK位。連接會(huì)話的第一個(gè)包不用于確認(rèn)，所以它就沒(méi)有設(shè)置ACK位，后續(xù)會(huì)話交換的TCP包就要設(shè)置ACK位了。

舉個(gè)例子，PC向遠(yuǎn)端的Web服務(wù)器發(fā)起一個(gè)連接，它生成一個(gè)沒(méi)有設(shè)置ACK位的連接請(qǐng)求包。當(dāng)服務(wù)器響應(yīng)該請(qǐng)求時(shí)，服務(wù)器就發(fā)回一個(gè)設(shè)置了ACK位的數(shù)據(jù)包，同時(shí)在包里標(biāo)記從客戶(hù)機(jī)所收到的字節(jié)數(shù)。然后客戶(hù)機(jī)就用自己的響應(yīng)包再響應(yīng)該數(shù)據(jù)包，這個(gè)數(shù)據(jù)包也設(shè)置了ACK位并標(biāo)記了從服務(wù)器收到的字節(jié)數(shù)。通過(guò)監(jiān)視ACK位，我們就可以將進(jìn)入網(wǎng)絡(luò)的數(shù)據(jù)限制在響應(yīng)包的范圍之內(nèi)。于是，遠(yuǎn)程系統(tǒng)根本無(wú)法發(fā)起TCP連接但卻能響應(yīng)收到的數(shù)據(jù)包了。

這套機(jī)制還不能算是無(wú)懈可擊，簡(jiǎn)單地舉個(gè)例子，假設(shè)我們有臺(tái)內(nèi)部Web服務(wù)器，那么端口80就不得不被打開(kāi)以便外部請(qǐng)求可以進(jìn)入網(wǎng)絡(luò)。還有，對(duì)UDP包而言就沒(méi)法監(jiān)視ACK位了，因?yàn)閁DP包壓根就沒(méi)有ACK位。還有一些TCP應(yīng)用程序，比如FTP，連接就必須由這些服務(wù)器程序自己發(fā)起。

FTP帶來(lái)的困難

一般的Internet服務(wù)對(duì)所有的通信都只使用一對(duì)端口號(hào)，F(xiàn)TP程序在連接期間則使用兩對(duì)端口號(hào)。第一對(duì)端口號(hào)用于FTP的“命令通道”提供登錄和執(zhí)行命令的通信鏈路，而另一對(duì)端口號(hào)則用于FTP的“數(shù)據(jù)通道”提供客戶(hù)機(jī)和服務(wù)器之間的文件傳送。

在通常的FTP會(huì)話過(guò)程中，客戶(hù)機(jī)首先向服務(wù)器的端口21（命令通道）發(fā)送一個(gè)TCP連接請(qǐng)求，然后執(zhí)行LOGIN、DIR等各種命令。一旦用戶(hù)請(qǐng)求服務(wù)器發(fā)送數(shù)據(jù)，F(xiàn)TP服務(wù)器就用其20端口 (數(shù)據(jù)通道)向客戶(hù)的數(shù)據(jù)端口發(fā)起連接。問(wèn)題來(lái)了，如果服務(wù)器向客戶(hù)機(jī)發(fā)起傳送數(shù)據(jù)的連接，那么它就會(huì)發(fā)送沒(méi)有設(shè)置ACK位的數(shù)據(jù)包，防火墻則按照剛才的規(guī)則拒絕該數(shù)據(jù)包同時(shí)也就意味著數(shù)據(jù)傳送沒(méi)戲了。通常只有高級(jí)的、也就是夠聰明的防火墻才能看出客戶(hù)機(jī)剛才告訴服務(wù)器的端口，然后才許可對(duì)該端口的入站連接。

UDP端口過(guò)濾

好了，現(xiàn)在我們回過(guò)頭來(lái)看看怎么解決UDP問(wèn)題。剛才說(shuō)了，UDP包沒(méi)有ACK位所以不能進(jìn)行ACK位過(guò)濾。UDP 是發(fā)出去不管的“不可靠”通信，這種類(lèi)型的服務(wù)通常用于廣播、路由、多媒體等廣播形式的通信任務(wù)。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

看來(lái)最簡(jiǎn)單的可行辦法就是不允許建立入站UDP連接。防火墻設(shè)置為只許轉(zhuǎn)發(fā)來(lái)自?xún)?nèi)部接口的UDP包，來(lái)自外部接口的UDP包則不轉(zhuǎn)發(fā)。現(xiàn)在的問(wèn)題是，比方說(shuō)，DNS名稱(chēng)解析請(qǐng)求就使用UDP，如果你提供DNS服務(wù)，至少得允許一些內(nèi)部請(qǐng)求穿越防火墻。還有IRC這樣的客戶(hù)程序也使用UDP，如果要讓你的用戶(hù)使用它，就同樣要讓他們的UDP包進(jìn)入網(wǎng)絡(luò)。我們能做的就是對(duì)那些從本地到可信任站點(diǎn)之間的連接進(jìn)行限制。但是，什么叫可信任！如果黑客采取地址欺騙的方法不又回到老路上去了嗎？

有些新型路由器可以通過(guò)“記憶”出站UDP包來(lái)解決這個(gè)問(wèn)題：如果入站UDP包匹配最近出站UDP包的目標(biāo)地址和端口號(hào)就讓它進(jìn)來(lái)。如果在內(nèi)存中找不到匹配的UDP包就只好拒絕它了！但是，我們?nèi)绾未_信產(chǎn)生數(shù)據(jù)包的外部主機(jī)就是內(nèi)部客戶(hù)機(jī)希望通信的服務(wù)器呢？如果黑客詐稱(chēng)DNS服務(wù)器的地址，那么他在理論上當(dāng)然可以從附著DNS的UDP端口發(fā)起攻擊。只要你允許DNS查詢(xún)和反饋包進(jìn)入網(wǎng)絡(luò)這個(gè)問(wèn)題就必然存在。辦法是采用代理服務(wù)器。

所謂代理服務(wù)器，顧名思義就是代表你的網(wǎng)絡(luò)和外界打交道的服務(wù)器。代理服務(wù)器不允許存在任何網(wǎng)絡(luò)內(nèi)外的直接連接。它本身就提供公共和專(zhuān)用的DNS、郵件服務(wù)器等多種功能。代理服務(wù)器重寫(xiě)數(shù)據(jù)包而不是簡(jiǎn)單地將其轉(zhuǎn)發(fā)了事。給人的感覺(jué)就是網(wǎng)絡(luò)內(nèi)部的主機(jī)都站在了網(wǎng)絡(luò)的邊緣，但實(shí)際上他們都躲在代理的后面，露面的不過(guò)是代理這個(gè)假面具。

小結(jié)

IP地址可能是假的，這是由于IP協(xié)議的源路有機(jī)制所帶來(lái)的，這種機(jī)制告訴路由器不要為數(shù)據(jù)包采用正常的路徑，而是按照包頭內(nèi)的路徑傳送數(shù)據(jù)包。于是黑客就可以使用系統(tǒng)的IP地址獲得返回的數(shù)據(jù)包。有些高級(jí)防火墻可以讓用戶(hù)禁止源路由。通常我們的網(wǎng)絡(luò)都通過(guò)一條路徑連接ISP，然后再進(jìn)入Internet。這時(shí)禁用源路由就會(huì)迫使數(shù)據(jù)包必須沿著正常的路徑返回。

還有，我們需要了解防火墻在拒絕數(shù)據(jù)包的時(shí)候還做了哪些其他工作。比如，防火墻是否向連接發(fā)起系統(tǒng)發(fā)回了“主機(jī)不可到達(dá)”的ICMP消息？或者防火墻真沒(méi)再做其他事？這些問(wèn)題都可能存在安全隱患。ICMP“主機(jī)不可達(dá)”消息會(huì)告訴黑客“防火墻專(zhuān)門(mén)阻塞了某些端口”，黑客立即就可以從這個(gè)消息中聞到一點(diǎn)什么氣味。如果ICMP“主機(jī)不可達(dá)”是通信中發(fā)生的錯(cuò)誤，那么老實(shí)的系統(tǒng)可能就真的什么也不發(fā)送了。反過(guò)來(lái)，什么響應(yīng)都沒(méi)有卻會(huì)使發(fā)起通信的系統(tǒng)不斷地嘗試建立連接直到應(yīng)用程序或者協(xié)議棧超時(shí)，結(jié)果最終用戶(hù)只能得到一個(gè)錯(cuò)誤信息。當(dāng)然這種方式會(huì)讓黑客無(wú)法判斷某端口到底是關(guān)閉了還是沒(méi)有使用。

...防火墻分為軟件防火墻和硬件防火墻兩種。軟件防火墻是安裝在pc平臺(tái)的軟件產(chǎn)品，它通過(guò)在操作系統(tǒng)底層工作來(lái)實(shí)現(xiàn)網(wǎng)絡(luò)管理和防御功能的優(yōu)化。但對(duì)國(guó)內(nèi)市場(chǎng)上的硬件防火墻產(chǎn)品介紹仔細(xì)研讀后，記者發(fā)現(xiàn)，對(duì)于硬件防火墻的定義，廠商們似乎仍莫衷一是。大多數(shù)廠商對(duì)產(chǎn)品的介紹，往往用大量的篇幅向消費(fèi)者灌輸產(chǎn)品的防護(hù)功能，而關(guān)于防火墻的實(shí)際配置，則基本沒(méi)有提及。

查閱國(guó)內(nèi)外大量資料后，發(fā)現(xiàn)硬件防火墻一般有著這樣的核心要求：它的硬件和軟件都需要單獨(dú)設(shè)計(jì)，有專(zhuān)用網(wǎng)絡(luò)芯片來(lái)處理數(shù)據(jù)包；同時(shí)，采用專(zhuān)門(mén)的操作系統(tǒng)平臺(tái)，從而避免通用操作系統(tǒng)的安全性漏洞。對(duì)軟硬件的特殊要求，使硬件防火墻的實(shí)際帶寬與理論值基本一致，有著高吞吐量、安全與速度兼顧的優(yōu)點(diǎn)。

而國(guó)內(nèi)市場(chǎng)的硬件防火墻，大部分都是所謂的“軟硬件結(jié)合的防火墻”，采用的是定制機(jī)箱+x86硬件架構(gòu)+防火墻軟件模塊(大多數(shù)是基于unix類(lèi)系統(tǒng)下開(kāi)發(fā)的)，而且是pc box結(jié)構(gòu)。這種防火墻的核心技術(shù)實(shí)際上仍然是軟件，吞吐量不高，容易造成帶寬瓶頸。并且pc架構(gòu)本身就不穩(wěn)定，更不可能長(zhǎng)時(shí)間運(yùn)行。

四、網(wǎng)絡(luò)防火墻是什么？

分類(lèi): 電腦/網(wǎng)絡(luò) >> 反病毒

解析:

防火墻的英文名為“FireWall”，它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專(zhuān)業(yè)角度講，防火墻是位于兩個(gè)(或多個(gè))網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問(wèn)控制的一組組件 *** 。

防火墻在網(wǎng)絡(luò)中經(jīng)常是以下圖所示的兩種圖標(biāo)出現(xiàn)的。左邊那個(gè)圖標(biāo)非常形象，真正像一堵墻一樣。而右邊那個(gè)圖標(biāo)則是從防火墻的過(guò)濾機(jī)制來(lái)形象化的，在圖標(biāo)中有一個(gè)二極管圖標(biāo)。而二極管我們知道，它具有單向?qū)щ娦?，這樣也就形象地說(shuō)明了防火墻具有單向?qū)ㄐ?。這看起來(lái)與現(xiàn)在防火墻過(guò)濾機(jī)制有些矛盾，不過(guò)它卻完全體現(xiàn)了防火墻初期的設(shè)計(jì)思想，同時(shí)也在相當(dāng)大程度上體現(xiàn)了當(dāng)前防火墻的過(guò)濾機(jī)制。因?yàn)榉阑鹱畛醯脑O(shè)計(jì)思想是對(duì)內(nèi)部網(wǎng)絡(luò)總是信任的，而對(duì)外部網(wǎng)絡(luò)卻總是不信任的，所以最初的防火墻是只對(duì)外部進(jìn)來(lái)的通信進(jìn)行過(guò)濾，而對(duì)內(nèi)部網(wǎng)絡(luò)用戶(hù)發(fā)出的通信不作限制。當(dāng)然目前的防火墻在過(guò)濾機(jī)制上有所改變，不僅對(duì)外部網(wǎng)絡(luò)發(fā)出的通信連接要進(jìn)行過(guò)濾，對(duì)內(nèi)部網(wǎng)絡(luò)用戶(hù)發(fā)出的部分連接請(qǐng)求和數(shù)據(jù)包同樣需要過(guò)濾，但防火墻仍只對(duì)符合安全策略的通信通過(guò)，也可以說(shuō)具有“單向?qū)ā毙浴?/p>

防火墻的本義是指古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時(shí)候，為防止火災(zāi)的發(fā)生和蔓延，人們將堅(jiān)固的石塊堆砌在房屋周?chē)鳛槠琳?，這種防護(hù)構(gòu)筑物就被稱(chēng)之為“防火墻”。其實(shí)與防火墻一起起作用的就是“門(mén)”。如果沒(méi)有門(mén)，各房間的人如何溝通呢，這些房間的人又如何進(jìn)去呢？當(dāng)火災(zāi)發(fā)生時(shí)，這些人又如何逃離現(xiàn)場(chǎng)呢？這個(gè)門(mén)就相當(dāng)于我們這里所講的防火墻的“安全策略”，所以在此我們所說(shuō)的防火墻實(shí)際并不是一堵實(shí)心墻，而是帶有一些小孔的墻。這些小孔就是用來(lái)留給那些允許進(jìn)行的通信，在這些小孔中安裝了過(guò)濾機(jī)制，也就是上面所介紹的“單向?qū)ㄐ浴薄?

我們通常所說(shuō)的網(wǎng)絡(luò)防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網(wǎng)絡(luò)與外界網(wǎng)絡(luò)之間的一道防御系統(tǒng)。防火可以使企業(yè)內(nèi)部局域網(wǎng)（LAN）網(wǎng)絡(luò)與Inter之間或者與其他外部網(wǎng)絡(luò)互相隔離、限制網(wǎng)絡(luò)互訪用來(lái)保護(hù)內(nèi)部網(wǎng)絡(luò)。典型的防火墻具有以下三個(gè)方面的基本特性：

（一）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過(guò)防火墻

這是防火墻所處網(wǎng)絡(luò)位置特性，同時(shí)也是一個(gè)前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)企業(yè)網(wǎng)部網(wǎng)絡(luò)不受侵害。

根據(jù)美國(guó)國(guó)家安全局制定的《信息保障技術(shù)框架》，防火墻適用于用戶(hù)網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶(hù)網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個(gè)網(wǎng)絡(luò)連接處，比如用戶(hù)網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來(lái)單位的網(wǎng)絡(luò)連接、用戶(hù)內(nèi)部網(wǎng)絡(luò)不同部門(mén)之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個(gè)安全控制點(diǎn)，通過(guò)允許、拒絕或重新定向經(jīng)過(guò)防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對(duì)進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問(wèn)的審計(jì)和控制。

典型的防火墻體系網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。從圖中可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過(guò)防火墻。

（二）只有符合安全策略的數(shù)據(jù)流才能通過(guò)防火墻

防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開(kāi)始談起，原始的防火墻是一臺(tái)“雙穴主機(jī)”，即具備兩個(gè)網(wǎng)絡(luò)接口，同時(shí)擁有兩個(gè)網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過(guò)相應(yīng)的網(wǎng)絡(luò)接口接收上來(lái)，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問(wèn)規(guī)則和安全審查，然后將符合通過(guò)條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對(duì)于那些不符合通過(guò)條件的報(bào)文則予以阻斷。因此，從這個(gè)角度上來(lái)說(shuō)，防火墻是一個(gè)類(lèi)似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口>=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個(gè)分離的物理網(wǎng)段之間，并在報(bào)文轉(zhuǎn)發(fā)過(guò)程之中完成對(duì)報(bào)文的審查工作。如下圖：

（三）防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力

這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個(gè)邊界衛(wèi)士一樣，每時(shí)每刻都要面對(duì)黑客的入侵，這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。它之所以具有這么強(qiáng)的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專(zhuān)門(mén)的防火墻嵌入系統(tǒng)外，再?zèng)]有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說(shuō)是相對(duì)的。

以上就是關(guān)于防火墻的結(jié)構(gòu)相關(guān)問(wèn)題的回答。希望能幫到你，如有更多相關(guān)問(wèn)題，您也可以聯(lián)系我們的客服進(jìn)行咨詢(xún)，客服也會(huì)為您講解更多精彩的知識(shí)和內(nèi)容。