防火墙的基本作用分析介绍

8.4.2　防火墙技术

古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。现在，如果一个网络接到了Internet上，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和lnternet之间插入一个中介系统，竖起一道安全屏障。

这道屏障的作用是阻断非法用户对本网络的威胁和入侵，其作用与古时候的防火砖墙有类似之处，因此我们把这个屏障就叫做“防火墙”（Firewall）。形象地说，防火墙就是一种过滤塞，你可以让你喜欢的东西通过这个塞子，其他的东西都统统过滤掉。在网络世界里，要由防火墙过滤的就是承载通信数据的通信包。

防火墙是一种装置，是由软件或硬件设备组合而成，通常处于内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限。换言之，防火墙是安全和可信的内部网络和不能确保安全和可信的外部网络（通常是Internet）之间的一个封锁工具。防火墙的基本作用是：

（1）过滤不安全服务

防火墙应封锁所有信息流，然后对希望提供的安全服务逐项开放，对不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。这是一种非常有效实用的方法，可以造成一种比较安全的环境，因为只有经过仔细挑选的服务才允许用户使用。

（2）过滤非法用户和访问特殊站点

防火墙先允许所有的用户和站点对内部网络的访问，然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。这种方法构成了一种灵活的应用环境，网络管理员可以针对不同的用户开放不同的服务。也就是能自由地设置各个用户的不同访问权限。

从网际角度看，防火墙可以看成是安装在两个网络之间的一道栅栏，根据安全计划和安全策略中的定义来保护其后面的网络，由软件和硬件组成的防火墙应该具有以下功能：

• 所有进出网络的通信流都应该通过防火墙；

• 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权；

• 理论上说，防火墙是穿不透的。

利用防火墙能保护站点不被任意联接，甚至能建立跟踪工具，帮助系统管理员记录有关正在进行的联接资源、服务器提供的通信量以及试图闯入者的企图。

总之，防火墙是阻止外面的人对网络进行访问的一类设备，此类设备通常是软件和硬件的组合体，并根据一些规则来挑选想要或不想要的地址。