所謂防火墻,是指由軟件和硬件設備組成,構建在內網與外網、專網與公網接口上的保護屏障。這是獲得安全感的壹種形象表述。它是計算機硬件和軟件的結合,在互聯網和內部網之間構成壹個安全網關,保護內部網免受非法用戶的侵害。防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關組成。
防火墻是位於計算機和它所連接的網絡之間的壹個軟件或硬件(硬件防火墻很少使用,如國防部和大型機房,因為它很昂貴)。進出這臺計算機的所有網絡流量都必須通過防火墻。
防火墻英語是《證券投資英漢大詞典》,解釋為金融機構內部嚴格區分銀行業務和證券業務的法律屏障,旨在防止可能出現的內幕信息共享等不公平交易。使用防火墻比喻不要引火燒身。
(1)內部網絡和外部網絡之間的所有網絡數據流都必須通過防火墻。
這是防火墻所在網絡位置的特點,也是前提條件。因為只有當防火墻是內外網之間唯壹的溝通渠道時,才能充分有效地保護企業網絡不受侵害。
根據美國國家安全局制定的信息保障技術框架,防火墻適用於用戶網絡系統的邊界,屬於用戶網絡邊界的安全防護設備。所謂網絡邊界,就是兩個安全策略不同的網絡之間的連接,比如用戶的網絡與互聯網的連接,與其他業務單元的連接,以及用戶內部網絡不同部門之間的連接。防火墻的目的是在網絡連接之間建立壹個安全控制點,並通過允許、拒絕或重定向通過防火墻的數據流來審計和控制進出內部網絡的服務和訪問。
典型的防火墻系統網絡結構如下圖所示。從圖中可以看出,防火墻的壹端連接到企事業單位的局域網,另壹端連接到互聯網。內部和外部網絡之間的所有通信都必須通過防火墻。
(2)只有符合安全策略的數據流才能通過防火墻。
防火墻最基本的功能是保證網絡流量的合法性,並在此前提下,快速將網絡流量從壹個鏈路轉發到另壹個鏈路。從最早的防火墻模型開始,最初的防火墻是“雙孔主機”,即同時擁有兩個網絡接口和兩個網絡層地址。防火墻通過相應的網絡接口接收網絡上的流量,按照OSI協議棧的七層結構順序上傳,在相應的協議層進行訪問規則和安全審查,然後將符合通過條件的報文從相應的網絡接口發送出去,同時對不符合通過條件的進行攔截。所以從這個角度來說,防火墻是壹個多端口(網絡接口>:=2)的轉發設備,橫跨在多個分離的物理網段之間,在報文轉發的過程中完成對報文的審核。如下圖所示:
(C)防火墻本身應該對攻擊有很強的免疫力。
這是防火墻承擔內部網絡安全保護責任的前提。防火墻處於網絡的邊緣,就像壹個邊防,時刻面臨著黑客的入侵,這就要求防火墻本身具有非常強的抗入侵能力。之所以有這麽強的能力,防火墻操作系統本身是關鍵,只有完全信任關系的操作系統才能談及系統的安全性。其次,防火墻本身的服務功能非常低,除了專用的防火墻嵌入式系統之外,防火墻上沒有其他應用程序運行。當然,這些安全只能說是相對的。
2.防火墻最基本的功能是控制計算機網絡中不同信任區域之間傳輸的數據流。例如,互聯網是不可信區域,而內部網絡是高度可信區域。以避免安全策略禁止的壹些通信,這類似於建築物中的防火墻功能。它的基本任務是控制不同信任區域中的信息。典型的受信任區域包括互聯網(無信任區域)和內部網絡(高信任區域)。最終目標是根據最小特權原則,通過安全策略和連接模型的操作,在不同級別的信任區域中提供受控的連接。