1
大学信息技术基础教程
1.2.4.7.3 4.7.3 防火墙技术

4.7.3 防火墙技术

建筑物中的防火墙可以阻止火势的蔓延,使得防火墙另外一侧的物体不被大火烧毁。网络防火墙的功能类似于建筑物中防火墙的功能。网络防火墙一般设置在内部网络与外部网络之间,使内部网络不受外部网络的攻击,保护内部网络资源,如图4.26所示。内部网络是安全可信的,而外部网络主要指Internet,是不安全和不可信的。防火墙检查和检测所有进出内部网络的信息,防止未经授权的通信进出被保护的内部网络。防火墙尽可能地对外部屏蔽网络内部的信息,以此来实现对内部网络的安全保护。

防火墙通常是包含软件部分和硬件部分的一个或多个系统的组合。

img85

图4.26 防火墙示意图

防火墙的设计目标是:

●进出内部网络的通信必须通过防火墙。可以通过物理方法阻塞除防火墙外的访问途径来做到这一点,可以对防火墙进行各种配置达到这一目标。

●只有那些在内部网络安全策略中定义了的合法的通信才能够进出防火墙。可以使用各种不同的防火墙来实现各种不同的安全策略。

●防火墙自身应该能够防止渗透。这就需要使用安装了安全操作系统的可信计算机系统。

在防火墙系统中采用的技术有包过滤技术和代理服务技术等。

1)包过滤技术

包过滤技术依靠对数据包的目的地址与目的端口、数据包的源地址与源端口以及数据包的传送协议进行检测,决定数据包能否通过防火墙。

采用包过滤技术的防火墙除了包过滤软件外,不需要增加其他软件和硬件。但采用包过滤技术的防火墙不能过滤包的文件内容,有一定的局限性。

2)代理服务技术

代理服务技术是在一台主机上安装代理服务软件构成代理服务器,内部网络上的主机通过代理服务器上运行的代理服务程序访问外部网络。代理服务程序可以屏蔽内部网络、识别应用协议以及对数据流进行过滤和监控。采用代理服务技术的防火墙比采用包过滤技术的防火墙的功能强大,多数企业在内部网中设置的防火墙都是采用代理服务技术。