網絡安全是一個不容忽視的問題，當人們在享受網絡帶來的方便與快捷的同時，也要時時面對網絡開放帶來的數據安全方面的新挑戰和新危險。為了保障網絡安全，當園區網與外部網連接時，可以在中間加入一個或多個中介系統，防止非法入侵者通過網絡進行攻擊，非法訪問，并提供數據可靠性、完整性以及保密性等方面的安全和審查控制，這些中間系統就是防火墻(Firewall)技術。它通過監測、限制、修改跨越防火墻的數據流，盡可能地對外屏蔽網絡內部的結構、信息和運行情況、阻止外部網絡中非法用戶的攻擊、訪問以及阻擋病毒的入侵，以此來實現內部網絡的安全運行。

防火墻的概述及其分類

網絡安全的重要性越來越引起網民們的注意，大大小小的單位紛紛為自己的內部網絡“筑墻”、防病毒與防黑客成為確保單位信息系統安全的基本手段。防火墻是目前最重要的一種網絡防護設備，是處于不同網絡(如可信任的局域內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。它是不同網絡或網絡安全域之間信息的惟一出入口，能根據企業的安全策略控制(允許、拒絕、監測)出入網絡的信息流，且本身具有較強的抗攻擊能力。它是提供信息安全服務，實現網絡和信息安全的基礎設施。

概述

在邏輯上，防火墻其實是一個分析器，是一個分離器，同時也是一個限制器，它有效地監控了內部網間或Internet之間的任何活動，保證了局域網內部的安全。

1)什么是防火墻

古時候，人們常在寓所之間砌起一道磚墻，一旦火災發生，它能夠防止火勢蔓延到別的寓所。現在，如果一個網絡接到了Internet上面，它的用戶就可以訪問外部世界并與之通信。但同時，外部世界也同樣可以訪問該網絡并與之交互。為安全起見，可以在該網絡和Internet之間插入一個中介系統，豎起一道安全屏障。這道屏障的作用是阻斷來自外部通過網絡對本網絡的威脅和入侵，提供扼守本網絡的安全和審計的關卡，它的作用與古時候的防火磚墻有類似之處，因此就把這個屏障叫做“防火墻”。

防火墻可以是硬件型的，所有數據都首先通過硬件芯片監測;也可以是軟件型的，軟件在計算機上運行并監控。其實硬件型也就是芯片里固化了UNIX系統軟件，只是它不占用計算機CPU的處理時間，但價格非常高，對于個人用戶來說軟件型更加方便實在。

2)防火墻的功能

防火墻只是一個保護裝置，它是一個或一組網絡設備裝置。它的目的就是保護內部網絡的訪問安全。它的主要任務是允許特別的連接通過，也可以阻止其它不允許的連接。其主體功能可以歸納為如下幾點：

·根據應用程序訪問規則可對應用程序聯網動作進行過濾;

·對應用程序訪問規則具有學習功能;

·可實時監控，監視網絡活動;

·具有日志，以記錄網絡訪問動作的詳細信息;

·被攔阻時能通過聲音或閃爍圖標給用戶報警提示。

3)防火墻的使用

由于防火墻的目的是保護一個網絡不受來自另一個網絡的攻擊。因此，防火墻通常使用在一個被認為是安全和可信的園區網與一個被認為是不安全與不可信的網絡之間，阻止別人通過不安全與不可信的網絡對本網絡的攻擊，破壞網絡安全，限制非法用戶訪問本網絡，最大限度地減少損失。

防火墻的分類

市場上的硬件防火墻產品非常之多，分類的標準比較雜，從技術上通常將其分為“包過濾型”、“代理型”和“監測型”等類型。

1)包過濾型

包過濾型產品是防火墻的初級產品，其技術依據是網絡中的分包傳輸技術。網絡上的數據都是以“包”為單位進行傳輸的，數據被分割成為一定大小的數據包，每一個數據包中都會包含一些特定信息，如數據的源地址、目標地址、TCP/UDP(傳輸控制協議/用戶數據報協議)源端口和目標端口等。防火墻通過讀取數據包中的地址信息來判斷這些“包”是否來自可信任的安全站點，一旦發現來自危險站點的數據包，防火墻便會將這些數據拒之門外。

2)代理型

代理型防火墻也可以被稱為代理服務器，它的安全性要高于包過濾型產品，并已經開始向應用層發展。代理服務器位于客戶機與服務器之間，完全阻擋了二者間的數據交流。從客戶機來看，代理服務器相當于一臺真正的服務器;而從服務器來看，代理服務器又是一臺真正的客戶機。當客戶機需要使用服務器上的數據時，首先將數據請求發給代理服務器，代理服務器再根據這一請求向服務器索取數據，然后由代理服務器將數據傳輸給客戶機。由于外部系統與內部服務器之間沒有直接的數據通道，外部的惡意侵害也就很難傷害到企業內部網絡系統。

3)監測型

監測型防火墻是新一代的產品，這一技術實際上已經超越了最初的防火墻定義。監測型防火墻能夠對各層的數據進行主動的、實時的監測，在對這些數據加以分析的基礎上，監測型防火墻能夠有效地判斷出各層中的非法侵入。同時，這種監測型防火墻產品一般還帶有分布式探測器，這些探測器安置在各種應用服務器和其他網絡的節點之中，不僅能夠檢測來自網絡外部的攻擊，同時對來自內部的惡意破壞也有極強的防范作用。據權威機構統計，在針對網絡系統的攻擊中，有相當比例的攻擊來自網絡內部。因此，監測型防火墻不僅超越了傳統防火墻的定義，而且在安全性上也超越了前兩代產品。