防火墙的英文名为firewall它是目前一种最重要的网络防护设备讲解

《防火墙的英文名为firewall它是目前一种最重要的网络防护设备讲解》由会员分享，可在线阅读，更多相关《防火墙的英文名为firewall它是目前一种最重要的网络防护设备讲解（3页珍藏版）》请在金锄头文库上搜索。

1、防火墙的英文名为“firewall”，它是目前一种最重要的网络防护设备。它在网络中经 常用图1 所示的两种图标来表示。左边那个图标很形象，像一堵墙。而右边那个图标则是用 一个二极管图标，形象地表示防火墙的过滤机制，形象地说明了防火墙具有单向导通性。它 粗看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同 时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络 总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行 过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变 不仅对外部网络发出的通

2、信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包 同样需要过滤，防火墙仍只对符合安全策略的信息予以通过。图1防火墙的本义是指古代使用木制结构房屋构筑，为防止火灾的蔓延，人们在房屋周围用泥石砌起 高墙作为屏障，这种防护构筑物就被称之为“防火墙”。对于防火墙的概念，目前还没有一个准 确、标准的定义。通常人们认为：防火墙是位于两个（或多个）网络间，实施网络之间访问控 制的一组组件集合。它具有以下三个方面的基本特性：内部网络和外部网络之间的所有网络数据流都必须经过防火墙只有符合安全策略的数据流才能通过防火墙防火墙自身应具有非常强的抗攻击免疫力目前市场的防火墙产品非常之多，划分的标准也比较杂。

3、在此我们对主流的分类标准进 行介绍。（1） 从防火墙的构成材质来分如果从实现防火墙机制的材质来分的话，防火墙可以分为软件防火墙和硬件防火墙。最初的防火墙与我们平时所看见的集线器、交换机一样，都属于硬件产品。如图 2 所示 的是 3Com 公司的一款 3Com SuperStack 3 防火墙。它在外观上与平常我们所见到的集线器 和交换机类似，只是只有少数几个接口，分别用于连接内、外部网络。图2 随着防火墙应用的逐步普及和计算机软件技术的发展，为了满足不同层次用户对防火墙 技术的需求，许多网络安全软件厂商开发出了基于纯软件的防火墙，俗称“个人防火墙”。 之所以说它是“个人防火墙”，那是因为它是安

4、装在主机中，只对一台主机进行防护，而不 是对整个网络。（2）从防火墙所用的技术来分 防火墙的防护和过滤技术虽然有许多种，但总体来讲仍可分为“包过滤型”和“应用代 理型”两大类。前者以以色列的Checkpoint防火墙和Cisco公司的PIX防火墙为代表，后 者以美国NAI公司的Gauntlet防火墙为代表。1）.包过滤（packet filtering型包过滤型防火墙工作在开放系统互连参考模型（OSI）的网络层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的 数据包才被转发到相应的目的地，其余数据包则被从数据流中丢弃。包过滤方式是一种通用、廉

5、价和有效的安全手段。之所以通用，是因为它不是针对各个 具体的网络服务采取特殊的处理方式，适用于所有网络服务；之所以廉价，是因为大多数路 由器都提供数据包过滤功能，所以这类防火墙多数是由路由器集成的；之所以有效，是因为 它能在很大程度上满足绝大多数企业安全要求。包过滤方式的优点是不用改动客户机和主机上的应用程序，因为它工作在网络层和传输 层，与应用层无关。但其弱点也是明显的：过滤判别的依据只是网络层和传输层的有限信息， 因而各种安全要求不可能充分满足；在许多过滤器中，过滤规则的数目是有限制的，且随着 规则数目的增加，性能会受到很大影响；由于缺少上下文关联信息，不能有效地过滤如UDP、 RPC 一

6、类的协议；另外，大多数过滤器中缺少审计和报警机制，它只能依据包头信息，而不 能对用户身份进行验证，很容易受到“地址欺骗型”黑客软件的攻击。对安全管理人员素质 要求高，建立安全规则时，必须对协议本身及其在不同应用程序中的作用有较深入的理解。 因此，过滤器通常是和网关配合使用，共同组成防火墙系统。2).应用代理(application proxy型应用代理型防火墙是工作在OSI的最高层，即应用层。其特点是完全阻隔了网络信息 流，通过对每种应用服务编制专门的代理程序，实现监视和控制应用层信息流的作用。其典 型网络结构如图3 所示。图3代理型防火墙的最突出的优点就是安全。由于它工作于最高层，所以它可以

7、对网络中任 何一层数据通信进行筛选保护，而不是像包过滤那样，只是对网络层的数据进行过滤。另外代理型防火墙采取是一种代理机制，它可以为每一种应用服务建立一个专门的代 理，所以内外部网络之间的通信不是直接的，都需先经过代理服务器审核，通过后再由代理 服务器代为连接，根本没有给内、外部网络计算机任何直接会话的机会，从而避免了入侵者 使用数据驱动类型的攻击方式入侵内部网。包过滤类型的防火墙是很难彻底避免这一漏洞 的。就像你要向一个陌生人物递交一份声明一样，如果你先将这份声明交给你的律师，然后 律师就会审查你的声明，确认没有什么负面的影响后才由他交给那个陌生人。在此期间，陌 生人对你的存在一无所知，因为

8、他仅与你的律师进行交接。如果要对你进行侵犯，他直接面 对的将是你的律师，而你的律师当然比你更加清楚该如何对付这种人。有优点就有缺点，任何事物都一样。代理防火墙的最大缺点就是速度相对比较慢，当用 户对内外部网络网关的吞吐量要求比较高时，代理防火墙就会成为内外部网络之间的瓶颈 因为防火墙需要为不同的网络服务建立专门的代理服务，在自己的代理程序为内、外部网络 用户建立连接时需要时间，所以给系统性能带来了一些负面影响，但通常不会很明显。防火墙的功能主要体现在如下几个方面：包过滤审计和报警机制 NAT（Network Address Translation,网络地址转换） Proxy（代理）流量控制（带宽管理）和统计分析、流量计费 VPN（虚拟专用网） URL 级信息过滤其他特殊功能除了以上介绍的几个方面的主要功能外,有的防火墙还具有一些特殊功能,这些特殊功 能纯粹是为了迎合特殊客户的需要或者为赢得卖点而设计的。如特定的用户权限配置（包括： 使用时间、邮件发送权限、文件传输权限、使用的主机、允许进行的互联网应用等）,这些 依需求不同而定。有的防火墙还加入了病毒扫描功能。