[网络工程师]-防火墙-防火墙基础

1、防火墙的概念

        防火墙是位于两个或多个网络之间，执行访问控制策略的一个或一组系统，是一类防范措施的总称。防火墙的作用是防止不希望、未经授权的通信进出被保护的网络，通过边界控制强化内部网络的安全策略。防火墙通常放置在外部网络和内部网络中间，执行网络边界的过滤封锁机制。

        防火墙是一种逻辑隔离部件，而不是物理隔离部件，它所遵循的原则是在保证网络畅通的情况下，尽可能地保证内部网络的安全。防火墙是在已经制定好的安全策略下进行网络控制，所有一般情况下它是一种静态安全部件，但随着防火墙技术的发展，防火墙通过与IDS进行联动，或其本身集成IDS功能，将能够根据实际的情况进行动态地策略调整。

2、防火墙的功能

2.1 访问控制功能

        这是防火墙最基本也是最重要的功能，通过禁止或允许特定用户访问特定的资源保护网络的内部资源和数据。需要禁止非授权的访问，防护期需要识别哪个用户可以访问何种资源，它包括了服务控制、方向控制、用户控制、行为控制等功能。

2.2 内容控制功能

        根据数据内容进行控制，比如防火墙可以从电子邮件中过滤掉垃圾邮件，可以过滤掉内部用户访问外部服务的图片信息，也可以限制外部访问，使它们只能访问本地web服务器中一部分信息。简单的数据包过滤路由器不能实现这样的功能，但是代理服务器和先进的数据包过滤技术可以做到。

2.3 全面的日志功能

        防火墙的日志功能很重要，防火墙需要完整地记录网络访问情况，包括内外网进出的访问，需要记录访问是什么时候进行了什么操作，以检查网络访问情况。一旦网络发生了入侵或遭到了破坏，就可以对日志进行审计和查询。

2.4 集中管理功能

        防火墙是一个安全设备，针对不同的网络情况和安全需要，需要指定不同的安全策略，然后再防火墙上实施，使用中还需要根据情况改变安全策略，而且在一个安全体系中，防火墙可能不止一台，所以防火墙应该是易于集中管理的，这样管理员就可以方便地实施安全策略。

2.5 自身的安全和可用性

      防火墙要保证自身的安全不被非法侵入，保证正常的工作。如果防火墙被侵入，防火墙的安全策略被修改，这样内部网络就变得不安全。防火墙也要保证可用性，否则网络就会中断，网络连接就失去意义。 

2.6 附加功能

2.6.1 流量控制

        针对不同的用户限制不同的流量，可以合理使用带宽资源。

2.6.2 网络地址转换

        通过修改数据包的源地址（端口）或目的地址（端口）来达到节省IP地址资源，隐藏内部IP地址功能的一种技术。

2.6.3 虚拟专用网

        只利用数据封装和加密技术，使本来只能在私有网络上传送的数据能够通过公共网络进行传输，使系统费用大大降低。

3、防火墙的优点和局限性

3.1 优点

        （1）防火墙对企业内部网实现了集中的安全管理，可以强化网络安全策略，比分散的主机管理更经济易行；

        （2）防火墙能防止非授权用户进入内部网络；

        （3）防火墙可以方便得监视网络的安全性并报警；

        （4）可以作为部署网络地址转换的地点，利用NAT技术，可以缓解地址空间的短缺，隐藏内部网的结构；

        （5）由于所有的访问都经过防火墙，防火墙是审计和记录网络的访问和使用的最佳地方。

3.2 局限性

        （1）为了提高安全性，限制或关闭了一些有用但存在安全缺陷的网络服务，给用户带来了使用上的不便；

        （2）目前防火墙对于来自网络内部的攻击无能为力；

        （3）防火墙不能防范不经过防火墙的攻击，如内部网用户通过SLIP或PPP直接进入Internet；

        （4）防火墙对用户不完全透明，可能带来传输延迟、瓶颈及单点失效；

        （5）防火墙不能完全防止受病毒感染的文件或软件的传输；

        （6）防火墙不能有效地地防范数据驱动式攻击；

        （7）防火墙不能阻止因特网不断出现的新的威胁和攻击。