1．防火墻的概念和特征

防火墻概念

所謂“防火墻”是指一種計算機硬件和軟件的結合，將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成。它采用由系統管理員定義的規則，對一個安全網絡和一個不安全網絡之間的數據流加以控制。

設置防火墻目的

保護內部網絡資源不被外部非授權用戶使用，防止內部受到外部非法用戶的攻擊。防火墻通過檢查所有進出內部網絡的數據包，檢查數據包的合法性，判斷是否會對網絡安全構成威脅，為內部網絡建立安全邊界（security perimeter）。

防火墻特征

防火墻置于兩個網絡之間，具有以下特征：
● 所有進出網絡的數據流，都必須經過防火墻。
● 只有授權的數據流才允許通過。

2．防火墻的作用

1)、網絡的安全屏障：防火墻能極大地提高內部網絡的安全性，并通過過濾不安全的服務而降低風險。只有經過授權的通信才能通過防火墻，所以網絡環境變得更安全。同時防火墻可以保護網絡免受基于路由的攻擊。

2)、強化網絡安全策略：通過以防火墻為中心的安全策略方案配置，能將很多安全控制如：口令、加密、身份認證等配置在防火墻上。同很多網絡安全策略相比，這種防火墻的集中安全管理更為經濟有效。

3)、對網絡存取和訪問進行監控審計：當所有的訪問都經過防火墻時，防火墻就能夠記錄下這些訪問。同時，提供網絡應用的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。

4)、防止內部信息的外泄：利用防火墻對內部網絡的劃分，可實現內部網中重點網段的隔離，從而縮小了局部網絡安全問題對全局網絡造成的影響。另外，一個內部網絡中不引人注意的細節可能包含了有關安全的線索，從而引起外部攻擊者的興趣，甚至因此暴露了內部網絡的某些安全漏洞，使用防火墻就可以隱蔽那些內部細節。

3．防火墻的缺點

實際應用中，防火墻還是有缺點的，主要表現在：不能防范惡意的知情者，不能防范不通過它的連接，不能防備全部的威脅，不能防范病毒。

4．防火墻系統的組成

構成防火墻系統的兩個基本部件是包過濾路由器（Packet Filtering Router）應用級網關（Application Gateway）。最簡單的防火墻由一個包過濾路由器組成，而復雜的防火墻系統由包過濾路由器和應用級網關組合而成。

包過濾防火墻實際上基于路由器，因此它也稱為篩選路由器。包過濾防火墻工作在網絡層，有選擇地讓數據包在內部網和外部網之間進行交換。只有滿足過濾邏輯的數據包才被轉發到相應的目的出口端，其余數據包則從數據流中丟棄。

應用級網關是基于代理服務的防火墻，是運行在代理服務器上的一些特定的應用程序或服務器程序。應用級網關工作在應用層，掌握著應用系統中可用做安全決策的全部信息。通過對每種應用服務編制專門的代理程序來監視和控制應用層通信流。

防火墻技術根據其防范的方式和側重點的不同而分為多種類型，但總體可分為兩大類：一類基于包過濾（Pack Filter），另一類基于代理服務（Proxy Service）。它們的區別是基于包過濾的防火墻可以直接轉發報文，對用戶完全透明，因此速度較快；而基于代理的防火墻需要通過代理服務器（Proxy Server）建立連接，因此有更強的身份驗證和日志功能。

代理服務（Proxy Service）即防火墻內外的計算機系統應用層的鏈接是在兩個終止于代理服務的鏈接來實現的，這樣便成功地實現了防火墻內外計算機系統的隔離。當代理服務器代表用戶與建立連接時，可以用自己的IP地址代替內部網絡的IP地址，所有內部網絡中的站點對外部是不可見的。

應用級網關是防火墻技術中使用得較多的技術，也是一種安全性能較高的技術。在使用中，外部用戶只能看到代理服務器，內部網絡只接收代理服務器的服務請求。與包過濾防火墻相比，它更安全，還可加速訪問。