第六章 防火墙技术




                                     第一节 防火墙概述


                 一、防火墙技术概念


                 “防火墙”是一个通用术语，是指在两个网络之间执行控制策略的系统，
            是在网络边界上建立的网络通信监控系统，用来保障计算机网络的安全，它是一
            种控制技术，既可以是一种软件产品，又可以制作或嵌入到某种硬件产品中。防
            火墙通常是由软件系统和硬件设备组合而成，在内部网和外部网之间构建起安全

            的保护屏障。从逻辑上讲，防火墙是起分隔、限制、分析的作用。实际上，防火
            墙是加强 Intranet（内部网）之间安全防御的一个或一组系统，它由一组硬件设
            备（包括路由器、服务器）及相应软件构成。所有来自 Internet 的传输信息或发
            出的信息都必须经过防火墙。这样，防火墙就起到了保护诸如电子邮件、文件传输、

            远程登录、在特定的系统间进行信息交换等安全的作用。防火墙是网络安全策略
            的有机组成部分，它通过控制和监测网络之间的信息交换和访问行为来实现对网
            络安全的有效管理。防火墙现在已成为各企业网络中实施安全保护的核心。防火
            墙可以被看成是阻塞点。所有内部网和外部网之间的连接都必须经过该阻塞点，

            在此进行检查和连接，只有被授权的通信才能通过该阻塞点。防火墙使内部网络
            与外部网络在一定条件下隔离，从而防止非法入侵及非法使用系统资源。同时，
            防火墙还可以执行安全管制措施，记录所以可疑的事件，其基本准则有以下两点：
                 一切未被允许的就是禁止的。基于该准则，防火墙应封锁所有信息流，然

            后对希望提供的服务逐项开放。这是一种非常实用的方法，可以造成一种十分安
            全的环境，因为只有经过仔细挑选的服务才被允许使用。其弊端是，安全性高于
            用户使用的方便性，用户所能使用的服务范围受到限制。
                 一切未被禁止的就是允许的。基于该准则，防火墙转发所有信息流，然后

            逐项屏蔽可能有害的服务。这种方法构成了一种更为灵活的应用环境，可为用户
            提供更多的服务。其弊端是，在日益增多的网络服务面前，网管人员疲于奔命，


                                                                                    171
                                                                                    171