（六）防火墻概述作者：山石1. 防火墻的概念防火墻（Firewall）是一種用來加強網絡之間訪問控制的特殊的網絡互連設備，是一種非常有效的網絡安全模型。核心思想是在不安全的網際網環境中構造一個相對安全的子網環境。目的是為了在被保護的內部網與不安全的非信任網絡之間設立唯一的通道，以按照事先制定的策略控制信息的流入和流出，監督和控制使用者的操作。防火墻可在鏈路層、網絡層和應用層上實現，其功能的本質特征是隔離內外網絡和對進出信息流實施訪問控制。隔離方法可以是基于物理的，也可以是基于邏輯的。從網絡防御體系上看，防火墻屬于一種被動防御的保護裝置。2. 防火墻的功能l 網絡安全的屏障l 過濾不安全的服務（內部提供的和內部訪問外部的不安全服務）l 阻斷特定的網絡攻擊（聯動技術的產生）l 部署NAT機制（Network Address Translation 網絡地址裝換）l 提供了監視局域網安全和預警的方便端點。提供包括安全和統計數據在內的審計數據，好的防火墻還能靈活設置各種報警方式。3. 防火墻的分類3.1. 個人防火墻個人防火墻是在操作系統上運行的軟件，可為個人計算機提供簡單的防火墻功能。位置是安裝在個人PC上，而不是放置在網絡邊界。因此，個人防火墻關心的不是一個網絡到另外一個網絡的安全，而是單個主機和與之相連接的主機或網絡之間的安全，考慮的并不是兩個網絡之間的安全問題，與邊界防火墻不同。3.2. 軟件防火墻作為網絡防火墻的軟件防火墻具有比個人防火墻更強的控制功能和更高的性能。不僅支持Windows系統，并且多數還支持Unix或Linux系統。個人防火墻也是一種純軟件的防火墻，但其應用范圍較小，且只支持Windows系統，功能相對來說要弱很多，并且安全性和并發連接處理能力較差。3.3. 一般硬件防火墻這里說的一般硬件防火墻，之所以加上一般二字是針對芯片級防火墻說的了。它們最大的差別在于是否基于專用的硬件平臺。目前市場上大多數防火墻都是這種所謂的硬件防火墻，他們都基于PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是，由于此類防火墻采用的依然是別人的內核，因此依然會受到OS（操作系統）本身的安全性影響。 一般硬件防火墻一般至少應具備三個端口，分別接內網，外網和DMZ區（非軍事化區），現在一些新的硬件防火墻往往擴展了端口，常見四端口防火墻一般將第四個端口做為配置口、管理端口。很多防火墻還可以進一步擴展端口數目。一般都采用PC架構（就是一臺嵌入式主機），但使用的各個配件都量身定制。一般由小型的防火墻廠商開發，或者是大型廠商開發的中低端產品，應用于中小型企業，功能比較全，但性能一般。3.4. 芯片級防火墻采用專用芯片（非X86芯片）來處理防火墻核心策略的一種硬件防火墻，也稱為芯片級防火墻。一般采用專用集成電路（ASIC）芯片或者網絡處理器（NP）芯片，專有芯片促使它們比其他種類的防火墻速度更快，處理能力更強，性能更高。芯片級防火墻基于專門的硬件平臺，沒有操作系統。采用ASIC芯片的方法在國外比較流行,技術也比較成熟,做這類防火墻最出名的廠商有Net Screen、FortiNet、Cisco等。這類防火墻由于是專用OS（操作系統）,因此防火墻本身的漏洞比較少，不過價格相對比較高昂。3.5. 分布式防火墻前面提到的幾種防火墻都屬于邊界防火墻（Perimeter Firewall），它無法對內部網絡實現有效的保護。隨著人們對網絡安全防護要求的提高，產生了一種新型的防火墻體系結構分布式防火墻。分布式防火墻由安全策略管理服務器Server以及客戶端防火墻Client組成.客戶端防火墻工作在各個從服務器、工作站、個人計算機上，根據安全策略文件的內容，依靠包過濾、特洛伊木馬過濾和腳本過濾的三層過濾檢查，保護計算機在正常使用網絡時不會受到惡意的攻擊，提高了網絡安全性。而安全策略管理服務器則負責安全策略、用戶、日志、審計等的管理。該服務器是集中管理控制中心，統一制定和分發安全策略，負責管理系統日志、多主機的統一管理，使終端用戶“零”負擔。4. 防火墻的局限性（1）網絡的安全性通常是以網絡服務的開放性和靈活性為代價的。防火墻的使用也會削弱網絡的功能：l 由于防火墻的隔離作用，在保護內部網絡的同時使它與外部網絡的信息交流受到阻礙。l 由于在防火墻上附加各種信息服務的代理軟件，增大了網絡管理開銷，還減慢了信息傳輸速率，在大量使用分布式應用的情況下，使用防火墻是不切實際的。（2）防火墻只是整個網絡安全防護體系的一部分，而且防火墻并非萬無一失：l 只能防范經過其本身的非法訪問和攻擊，對繞過防火墻的訪問和攻擊無能為力l 不能解決來自內部網絡的攻擊