|
|
防火墙基础知识
本章主要讲述防火墙的一些基础知识,包括什么是防火墙、防火墙所处的逻辑位置和物理位置、防火墙的理论特性和实际功能、使用防火
墙的优缺点、如何划分防火墙的类型等内容。此外,还要讲述防火墙的灵魂—一“过滤规则”——的相义知识及与信息安全相关的国内标准和
国际标淮等问题。通过对本章的学习,读者可以构造一个比较全面的关于防火墙的知识框架。
1.1 防火墙的定义
在古代,防火墙指的是构筑和位崩房屋的时侯,为防止火灾在相邻的房子之间蔓延,人们在房届周围砌的砖或石头墙。在现代,防火墙被
定义为由不燃烧材料构成的,为减小或避免建筑、结构、设备遭受热辐射危害和防止火灾蔓延,设置的竖向分隔体或宣接设置在建筑物基础上
或钢筋混凝土框架上具有耐火性的墙。
本书命描述的防火墙并非是建筑学意义上的防火墙,而是指一种被广泛应用的计算机网络安全技术及采用这种技术的安全设备,只是借用
了建筑学上的一个名词而已。这是因为两者之间具合类比性:建筑防火墙可以凭借高大厚实而且耐燃的墙体阻隔火势向受其保护的房屋蔓延,
计算机网络防火墙可以依据访问控制策略为内联主机或网络提供保护,使其免遭非法探测和访问。
当一个用户计算机或内联网络连接到外联网络后,它就可以通过外联网络访问其他主机或网络并与之通信。同时,外界的主机也可以访问
到这台联网主机或内联网络。为了安全起见,需要在本地计算机或内联网络与外联网络之间设置一道屏障,这道屏障能够保护本地计算机或内
联网络免迢来白外联网络的威胁和入侵。这道屏障就叫做防火墙。严格地说,防火墙技术指的是目前最主要的一种网络防护技术,而采用该技
术的网络安全系统叫做防火墙系统,包括硬件设备、相关的软件代码和安全策略。在不引起歧义的情况下,这里统’地称其为防火墙。防火墙
是技术4设备的系统集成,而并非单指果一个特定的设备或软件,这一点希望读者注意。
为了抵御来的L联网络的威胁和入侵,防火墙的“法宝”是访问控制策略。访问控制策略是控制内联上机进行网络访问的原则和措施,即决
定允许哪一台内联主机以什么样的方式访问外联网络;允许外联主机以什么样的方式访问内联网络。访问控制策略依据企业或组织的整体安全
策略制定,是企业或组织对网络与信息安全的观点与思想的表达,兄体体现为防火墙的过滤规则。防火墙依据过滤规则检查每个经过它的数据
包,符合过滤规则的数据包允计;通过,不符合过滤规则的数据包一律拒绝其通过防火墙。如果因为将其比喻为峭而对其封闭性产生困惑的话
,也可以将防火墙看做是一扇受访问控制策略控制的门,当过滤规则允许的数据到来的时候,门就打开让其通过;当过滤规则不允许的数据到
来的时候,门就关闭不计其通过。
从广泛、宏观的意义上说,防火墙是隔离在内联网络与外联网络之间的一个防御系统。防火墙拥有内联网络与外联网络之间的唯一进出u,
因此能够使内联网络与外联网络,尤其是勺In?ernet互相隔离。它通过限制内联网络与外联网络之间的访问来防止外部用户非法使用内部资源
,保护内联网络的设备不被破坏,防止内联网络的敏感数据被窃取,从而达到保护内联网络的日的。
AT巴.T的丁程师williamChcswi ck和默。vcn flellovin给出了防火墙的明确定义,他们认为防火墙是位于两个网络之间的一纽构件或一
个系统,具有以下属性:
防火墙是不同网络或者安全域之间的信息流的唯一通道,所有双向数据流必须经
过防火墙;
只有经过授权的合法数据(即防火墙安全策略允许的数据)才可以通过防火墙;
防火墙系统应该具有很高的抗攻击能力,其自身可以不受各种攻击的影响。
简而言之,防火墙是位于两个(或多个)网络之间,实施访问控制策略的一个或一组组件集合。
本文由仪器信息网提供。 |
|
发表于 2011-3-9 15:59:30
