什么是防火墻

?防火墻的英文名為“FireWall”，它是目前一種最重要的網(wǎng)絡防護設(shè)備。從專業(yè)角度講，防火墻是位于兩個(或多個)網(wǎng)絡間，實施網(wǎng)絡之間訪問控制的一組組件集合。

??? 防火墻在網(wǎng)絡中經(jīng)常是以下圖所示的兩種圖標出現(xiàn)的。左邊那個圖標非常形象，真正像一堵墻一樣。而右邊那個圖標則是從防火墻的過濾機制來形象化的，在圖標中有一個二極管圖標。而二極管我們知道，它具有單向?qū)щ娦?，這樣也就形象地說明了防火墻具有單向?qū)ㄐ浴＿@看起來與現(xiàn)在防火墻過濾機制有些矛盾，不過它卻完全體現(xiàn)了防火墻初期的設(shè)計思想，同時也在相當大程度上體現(xiàn)了當前防火墻的過濾機制。因為防火最初的設(shè)計思想是對內(nèi)部網(wǎng)絡總是信任的，而對外部網(wǎng)絡卻總是不信任的，所以最初的防火墻是只對外部進來的通信進行過濾，而對內(nèi)部網(wǎng)絡用戶發(fā)出的通信不作限制。當然目前的防火墻在過濾機制上有所改變，不僅對外部網(wǎng)絡發(fā)出的通信連接要進行過濾，對內(nèi)部網(wǎng)絡用戶發(fā)出的部分連接請求和數(shù)據(jù)包同樣需要過濾，但防火墻仍只對符合安全策略的通信通過，也可以說具有“單向?qū)ā毙浴?br>

??? 防火墻的本義是指古代構(gòu)筑和使用木制結(jié)構(gòu)房屋的時候，為防止火災的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構(gòu)筑物就被稱之為“防火墻”。其實與防火墻一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發(fā)生時，這些人又如何逃離現(xiàn)場呢？這個門就相當于我們這里所講的防火墻的“安全策略”，所以在此我們所說的防火墻實際并不是一堵實心墻，而是帶有一些小孔的墻。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單向?qū)ㄐ浴薄?
??? 我們通常所說的網(wǎng)絡防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)。防火可以使企業(yè)內(nèi)部局域網(wǎng)（LAN）網(wǎng)絡與Internet之間或者與其他外部網(wǎng)絡互相隔離、限制網(wǎng)絡互訪用來保護內(nèi)部網(wǎng)絡。典型的防火墻具有以下三個方面的基本特性：
??? （一）內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻
??? 這是防火墻所處網(wǎng)絡位置特性，同時也是一個前提。因為只有當防火墻是內(nèi)、外部網(wǎng)絡之間通信的唯一通道，才可以全面、有效地保護企業(yè)網(wǎng)部網(wǎng)絡不受侵害。
??? 根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》，防火墻適用于用戶網(wǎng)絡系統(tǒng)的邊界，屬于用戶網(wǎng)絡邊界的安全保護設(shè)備。所謂網(wǎng)絡邊界即是采用不同安全策略的兩個網(wǎng)絡連接處，比如用戶網(wǎng)絡和互聯(lián)網(wǎng)之間連接、和其它業(yè)務往來單位的網(wǎng)絡連接、用戶內(nèi)部網(wǎng)絡不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。
??? 典型的防火墻體系網(wǎng)絡結(jié)構(gòu)如下圖所示。從圖中可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡之間的通信都要經(jīng)過防火墻。

??? （二）只有符合安全策略的數(shù)據(jù)流才能通過防火墻
??? 防火墻最基本的功能是確保網(wǎng)絡流量的合法性，并在此前提下將網(wǎng)絡的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機”，即具備兩個網(wǎng)絡接口，同時擁有兩個網(wǎng)絡層地址。防火墻將網(wǎng)絡上的流量通過相應的網(wǎng)絡接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應的網(wǎng)絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡接口>=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。如下圖：

??? （三）防火墻自身應具有非常強的抗攻擊免疫力
??? 這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡安全防護重任的先決條件。防火墻處于網(wǎng)絡邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領(lǐng)。它之所以具有這么強的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談論系統(tǒng)的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。

??? 目前國內(nèi)的防火墻幾乎被國外的品牌占據(jù)了一半的市場，國外品牌的優(yōu)勢主要是在技術(shù)和知名度上比國內(nèi)產(chǎn)品高。而國內(nèi)防火墻廠商對國內(nèi)用戶了解更加透徹，價格上也更具有優(yōu)勢。防火墻產(chǎn)品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內(nèi)主流廠商為東軟、天融信、聯(lián)想、方正等，它們都提供不同級別的防火墻產(chǎn)品。