“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。
用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
从实现的方式来看,防火墙可以分为硬件防火墙和软件防火墙。硬件防火墙是通过硬件与软件的结合来达到隔离内外部网络的目的,而软件防火墙则是通过纯软件的方式来实现。
防火墙的作用
防火墙能够隔离风险区域和安全区域,但不会妨碍人们对风险区域的访问。从总体上看,防火墙应该具有以下基本功能:
(1)限制未授权用户进入内部网络,过滤掉不安全的服务和非法用户。
(2)防止入侵者接近内部网络的防御设施,对网络攻击进行检测和报警。
(3)限制内部用户访问特殊站点。
(4)记录通过防火墙的信息内容和活动。
防火墙的技术特点
而一个好的防火墙系统应该具备以下特性:
(1)所有在内部网络和外部网络之间传输的数据都必须经过防火墙。
(2)只有被授权的合法数据即安全策略允许的数据才允许通过防火墙。
(3)防火墙本身具有预防入侵的功能,不受各种攻击的影响。
(4)人机交互界面良好,用户配置方便、易管理。
防火墙的分类
(1)网络层防火墙网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。
(2)应用层防火墙应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其=他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。根据侧重不同,可分为:包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。
(3)数据库防火墙数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库防火墙通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。数据库防火墙面对来自于外部的入侵行为,提供SQL注入禁止和数据库虚拟补丁包功能。