防火牆安全

防火牆在網絡中經常是兩種圖標出現的。左邊那個圖標非常形象，真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的，在圖標中有一個二極管圖標。而二極管我們知道，它具有單向導電性，這樣也就形象地説明了防火牆具有單向導通性。這看起來與如今的防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網絡總是信任的，而對外部網絡卻總是不信任的，所以最初的防火牆是隻對外部進來的通信進行過濾，而對內部網絡用户發出的通信不作限制。當然如今的防火牆在過濾機制上有所改變，不僅對外部網絡發出的通信連接要進行過濾，對內部網絡用户發出的部分連接請求和數據包同樣需要過濾，但防火牆仍只對符合安全策略的通信通過，也可以説具有“單向導通”性。

防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這裏所講的防火牆的“安全策略”，所以在此我們所説的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單向導通性”。

我們通常所説的網絡防火牆是借鑑了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網絡與外界網絡之間的一道防禦系統。防火可以使企業內部局域網（LAN）網絡與Internet之間或者與其他外部網絡互相隔離、限制網絡互訪用來保護內部網絡。典型的防火牆具有以下三個方面的基本特性：

這是防火牆所處網絡位置特性，同時也是一個前提。因為只有當防火牆是內、外部網絡之間通信的通道，才可以全面、有效地保護企業網部網絡不受侵害。

根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用户網絡系統的邊界，屬於用户網絡邊界的安全保護設備。所謂網絡邊界即是採用不同安全策略的兩個網絡連接處，比如用户網絡和互聯網之間連接、和其它業務往來單位的網絡連接、用户內部網絡不同部門之間的連接等。防火牆的目的就是在網絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網絡的服務和訪問的審計和控制。

典型的防火牆體系網絡結構。防火牆的一端連接企事業單位內部的局域網，而另一端則連接着互聯網。所有的內、外部網絡之間的通信都要經過防火牆。

防火牆最基本的功能是確保網絡流量的合法性，並在此前提下將網絡的流量快速的從一條鏈路轉發到另外的鏈路上去。防火牆將網絡上的流量通過相應的網絡接口接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網絡接口送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來説，防火牆是一個類似於橋接或路由器的、多端口的（網絡接口＞=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。

這是防火牆之所以能擔當企業內部網絡安全防護重任的先決條件。防火牆處於網絡邊緣，它就像一個邊界衞士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關係的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能説是相對的。

如今國內的防火牆幾乎被國外的品牌佔據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用户瞭解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、聯想、方正等，它們都提供不同級別的防火牆產品。