7.2.1　防火墙工作原理

随着人们对网络安全问题的日益关注，作为网络安全基本防护设备的防火墙，已越来越受到重视。防火墙能保护企业的内部网络免受外来攻击，确保只有合法的信息流才能进出内部网络。防火墙对进出网络的数据报文进行分析、检测和过滤，以抵御非法流量。

防火墙是指两个网络（外部网和内部网）之间实施访问控制策略的一组设备。通常防火墙需要具有以下3个方面的特性：

·在外部网和内部网之间传输的数据一定要经过防火墙。·只有防火墙中安全策略允许的数据才可以通过防火墙。·防火墙本身不受各种外部攻击的影响。

从上述特性可以看出，防火墙是通过在网络边界上建立起一套安全系统来隔离内网和外网，并确定允许哪些内部服务或用户访问外网，以及哪些外部服务或用户访问内网，阻挡网络外部的非法入侵，以保护内部网络的安全。防火墙主要有以下几方面的作用：

·管理进、出网络的访问。防火墙允许网络管理员定义一个中心点来防止非法用户进入内部网络，并抗击来自各个方面的攻击。

·简化安全管理。网络安全性是在防火墙上实施，不用分布到内部网络的各个主机上。

·保护网络中脆弱的服务。防火墙通过过滤存在安全缺陷的网络服务来降低内部网络遭受攻击的可能性，只有经过选择的安全的网络服务才允许外部访问。

·内部地址隐藏。防火墙上可以部署NAT，不仅能够缓解地址空间短缺问题，也可以隐藏内部网络的拓扑结构。

·日志与统计。防火墙可以记录Internet访问量，对正常网络使用情况做出统计，通过对统计结果的分析，可以优化防火墙性能。

·检测和报警。防火墙可以监视网络的安全性，并自动产生报警。网络管理员可以查看常规记录并及时响应报警。

目前防火墙硬件架构技术主要有3种：Intel X86架构技术、ASIC处理技术和网络处理器（Network Processor）技术。

Intel X86CPU最大的优点是灵活性高，它利用指令集和软件完成各种业务。X86 CPU的实际处理能力受传统的总线传输体系结构的限制，但是对于大多数的网络数据处理是可以满足的。

ASIC处理技术以单一功能的集成电路来完成进程处理，具备高可靠性和强大处理能力，但其灵活性不高，属于专用硬件，比较适用于相对单一的领域，具有很高的处理效率。

网络处理器是专门为处理网络数据包而开发的，具有优化的体系结构和指令集，拥有很强的编程能力和可扩展性，能够很好地满足网络业务的多样化需求。但对复杂应用数据处理，其效率不如ASIC处理技术。