计算机防火墙也是“防火”
防火墙作为一套网络安全管理机制,可以将需要保护的网络与开放性的互联网或者其他不可信任的网络环境进行隔离,使得被保护的网络成为完全可控的、可信任的安全网络,这就是防火墙的主要功能!
三、防火墙的真面目——真的是墙吗?我们已经介绍了引入防火墙的原因:为了解决前文中提到的多种网络安全漏洞!那么,防火墙的真面目到底是什么样子呢?它真的是一堵墙吗?防火墙具体是怎么实现的呢?本节为您揭晓!
揭开防火墙的真面目
国电话电报公司(AT&T)的工程师定义了防火墙的具体内容:
◆ 所有内网与外网的数据交互都必须经过防火墙
◆ 所有的内网访问通信必须经过防火墙授权
◆ 整个内网系统具有很强的可靠性
从定义来看,防火墙是一个可以控制网络数据进出内外网的“东西”,不仅能够检查网络数据,而且具有保障内网不受外部不安全因素破坏的能力,所以防火墙在功能上,是一个集隔离、审查于一体的器件;在实现上,防火墙是由一组位于特殊网络位置上的硬件设备(路由器、主机等)组成的主机或路由器系统。
防火墙=特定功能的主机/路由器
四、理想的防火墙结构在介绍防火墙结构之前,我们首先要清楚三个概念:
- 内网——又称内部网络区域,指企业内部网络或一部分内部网络
- 外网——又称外部网络区域,指因特网或非内部区域网络,不属于互联网信任的网络环境
- 边界网络——内外网都可以访问的子网
- 过滤路由器——在普通路由器中设置相关的过滤功能形成的最简单的防火墙
- 代理服务器——充当内网DNS、内网与外网通信的网关,可提供各种信息服务(mail、ftp服务等)功能
★ 理想的防火墙结构如下:
理想防火墙结构
根据上图可以看出,理想型防火墙将一个主机的多种服务功能(WWW/FTP/MAIL等)分散至多个单独的从主机进行分开管理。在理想型防火墙中一共有三道安全防线,第一道防线就是过滤路由器,能够进行IP分组数据包的过滤;第二道防线就是分散在边界网络中的单服务主机(图中为代理服务器),由于只提供一种服务,一方面使得边界网络中的主机更易于配置,另一方面增加了内网被攻破的难度;第三道防线就是内部路由器,内网最后的安全防护手段。
其实,当今的商用防火墙已经将上述功能全部集成为单件产品,只需要进行配置就能够实现上述理想结构中的相似功能,如华为的一款防火墙产品:
