防火墻的原理是指設置在不同網絡(如可信任的企業內部網和不可信的公共網)或網絡安全域之間的一系列部件的組合。
它是不同網絡或網絡安全域之間信息的唯一出入口,通過監測、限制、更改跨越防火墻的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,有選擇地接受外部訪問。
對內部強化設備監管、控制對服務器與外部網絡的訪問,在被保護網絡和外部網絡之間架起一道屏障,以防止發生不可預測的、潛在的破壞性侵入。
防火墻有兩種,硬件防火墻和軟件防火墻,都能起到保護作用并篩選出網絡上的攻擊者。
防火墻通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務,包過濾技術是一種簡單、有效的安全控制技術。
它通過在網絡間相互連接的設備上加載允許、禁止來自某些特定的源地址、目的地址、TCP端口號等規則,對通過設備的數據包進行檢查,限制數據包進出內部網絡。
包過濾的最大優點是對用戶透明,傳輸性能高。
但由于安全控制層次在網絡層、傳輸層,安全控制的力度也只限于源地址。
目的地址和端口號,因而只能進行較為初步的安全控制,對于惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段,則無能為力。
