防火墙和边防的意义类似,它相当于计算机网络中的边境检查站,负责替内部网络进行来访检查。
定义
防火墙是按照程序预先设定的安全策略,来对来访的信息和数据包进行控制的设备或软件,以此防止外部网络对内部网络的入侵。
防火墙不是物理隔离部件,而是一种逻辑隔离部件。
防火墙位置一览无余,当互联网中的通信消息想要发送至内部网服务器时,需先经过防火墙;而内部网络之间的通讯是不用经过防火墙的。
组成形式
硬件:防火墙被固化在专门的硬件上,安全水平和数据处理能力都很高,但调整起来非常困难;
软件:防火墙在服务器上作为一款软件来运行,安装灵活、使用方便,但安全水平和数据处理能力很低;
软硬结合:安全操作系统平台结合防火墙专用的硬件,在此平台基础上运行防火墙软件。
防火墙功能
控制访问
防火墙最基本、也最重要的功能,能够对外部网络来访者的身份进行检测,控制其访问范围;
控制内容
对不安全的数据包进行控制;
安全日志
实时记录网络通信状况,一旦发现服务器有潜在的风险就立即采取防护措施;
集中管理
在一个网络的安全体系中会有多态方文强分布式部署,便于进行集中管理、实施统一的安全策略。
防火墙的基本安全策略有两种:
1、没有被明确允许的,就是禁止的:这是一种以控制为中心的安全策略;
2、没有被明确禁止的,就是允许的:这是一种以确保通信顺畅为中心的安全策略。
防火墙的体系结构
防火墙的体系结构有种双重基地型网关、屏蔽主机网关和屏蔽子网防火墙三种,各有各的优缺点,可以通过集中控制调制解调器组合起来。
防火墙的局限性
1.防火墙只是一种边界安全保护系统,假如攻击者针对内网渗透进行攻击,防火墙就会对此束手无策;
2.防火墙是基于已有安全策略进行防控的,无法对新的攻击手段进行防护;
3.防火墙对通信内容的控制不足,也因此对病毒、木马、蠕虫等恶意代码的防护能力很弱。
现如今,仅靠防火墙一种安全手段已经不能完全满足网络安全的需求,因此防火墙技术正逐渐与防病毒技术、入侵检测技术、抵御攻击技术(如DDoS分布式拒绝服务攻击等)、VPN、PKI等融合,未来将成为一个更加完善且全面的网络安全防御系统。
