防火墙是网络安全的关键构件,其设置于不同网络间,如可信赖的企业内部网与不可信的公共网络之间,构成一个全面的安全防御系统。该系统具备监测、限制、改变穿越其边界的数据流的能力,致力于对外界内部网络的信息、结构和运行状况,以此实现网络的安全保护。
防火墙是一种综合性的硬件设备或软件系统,其主要职责是防止外界恶意程序对内部系统的,同时阻止内部重要信息的。它具有双向监督的功能,允许管理员根据实际需求灵活调整安全性的等级。
总体而言,防火墙可分为包过滤、应用级网关和代理服务器等多种类型,并涵盖以下几项核心技术:
包过滤技术是基础的安全控制手段,其工作在网络层,通过设定规则来限制或允许特定源地址、目的地址及TCP端口号等数据包。这种技术最大优点在于对用户透明且传输性能高。由于安全控制层次主要在网络层和传输层,对于高级攻击手段如拥塞攻击、病毒等则效果有限。
应用代理防火墙则工作在OSI的第七层,通过详细检查应用层的信息包内容来增强网络的安全性。
应用网关防火墙通过打破客户机/服务器模式来工作,每个通信需要两个连接分别连接至防火墙。其缺点在于对于新的应用服务需要添加对应的服务程序。
状态检测防火墙则工作在OSI的第二至四层,采用状态检测包过滤技术,既保留了包过滤的优点,又在此基础上增强了安全性。其核心部分建立状态连接表,对连接进行维护,对数据包的处理更加细致。
完全内容检测技术防火墙则更为先进,它综合了状态检测与应用代理技术,并进一步基于多层检测架构来整合防病毒、内容过滤、应用识别等功能。这种防火墙体现了网络与信息安全的新思路。
通过部署Firewall,可以有效地过滤不安全的服务,提高网络安全并降低子网中主机的风险。例如禁用NIS、NFS服务等,同时拒绝源路由和ICMP重定向封包。
Firewall还提供了对系统的访问控制功能,允许或禁止特定主机的访问。例如,外部访问者只能访问特定的Mail Server和Web Server。
在企业内部网中实施Firewall可实现集中的安全管理策略。在Firewall中定义的安全规则可以应用于整个内部网络系统,无需在每台机器上分别设立安全策略。Firewall还可以定义不同的认证方法,简化了认证过程。
使用Firewall不仅可以阻止攻击者获取网络系统的有用信息,如Figer和DNS信息,还可以记录和统计网络通讯情况,提供关于网络使用的统计数据。这些数据有助于判断可能的攻击和探测行为。