网络信息安全之防火墙技术（一）

网络的安全性可以定义为计算机机密性、完整性和可用性的实现。机密性要求只有授权才能访问信息；完整性要求信息保持不被意外或者恶意地改变；可用性指计算机系统在不降低使用的情况下仍能根据授权用户的需要提供资源服务。因特网防火墙是这样的（一组）系统，它能增强机构内部网络的安全性，用于加强网络间的访问控制，防止外部用户非法使用内部网的资源，保护内部网络的设备不被破坏，防止内部网络的敏感数据被窃取。防火墙系统决定了哪些内部服务可以被外界访问；外界的哪些人可以访问内部的哪些可以访问的服务，以及哪些外部服务可以被内部人员访问。要使一个防火墙有效，所有来自和去往因特网的信息都必须经过防火墙，接受防火墙的检查。防火墙必须只允许授权的数据通过，并且防火墙本身也必须能够免于***。防火墙系统一旦被***者突破或迂回，就不能提供任何保护了。
Internet防火墙是一种装置，它是由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限,它的基本系统模型如图7.1.1所示。换言之，一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。防火墙是一种被动的技术，因为它假设了网络边界的存在，它对内部的非法访问难以有效地控制。因此防火墙只适合于相对独立的网络，例如企业的内部的局域网络等。 Internet 工作站 服务器 工作站 工作站
图7.1.1基本的防火墙系统模型从实现上来看，防火墙实际上是一个独立的进程或一组紧密联系的进程，运行于路由服务器上，控制经过它们的网络应用服务及数据。安全、管理、速度是防火墙的三大要素。防火墙已成为实现网络安全策略的最有效的工具之一，并被广泛地应用到Internet/Intranet 的建设上。

防火墙作为内部网与外部网之间的一种访问控制设备，常常安装在内部网和外部网交流的点上。Internet防火墙是路由器、堡垒主机、或任何提供网络安全的设备的组合，是安全策略的一个部分。如果仅设立防火墙系统，而没有全面的安全策略，那么防火墙就形同虚设。全面的安全策略应告诉用户应有的责任，公司规定的网络访问、服务访问、本地和远地的用户认证、拨入和拨出、磁盘和数据加密、病毒防护措施，以及雇员培训等。所有可能受到网络***的地方都必须以同样安全级别加以保护。

防火墙系统可以是路由器，也可以是个人主机、主系统或一批主系统，用于把网络或 子网同那些子网外的可能是不安全的系统隔绝。防火墙系统通常位于等级较高网关或网点与Internet的连接处。

防火墙基本上是一个独立的进程或一组紧密结合的进程，安置在路由器或服务器中来控制经过防火墙的数据。它确保一个单位内的网络与Internet之间所有的 信息均符合该单位的安全方针，这个系统能为管理人员提供对一系列问题的答案：诸如：谁在使用网络？他们在网上做什么？他们什么时间使用过网络？他们上网时去了何处？谁要上网但没有成功？
引入防火墙是因为传统的子网系统会把自身暴露给不安全的服务，并受到网络上其他地方的主系统的试探和***。在没有防火墙的环境中，局域网内部上的每个节点都暴露给Internet上的其它主机，此时局域网的安全性要由每个节点的坚固程度来决定，并且安全性等同于其中最弱的节点，子网越大，把所有主机保持在相同安全性水平上的可管理能力就越小，随着安全性的失误和失策越来越普遍，闯入时有发生，这些中有的不是因为受到多方的***，而仅仅是因为配置错误、口令不适当而造成的。而防火墙是放置在局域网与外部网络之间的一个隔离设备，它可以识别并屏蔽非法请求，有效防止跨越权限的数据访问。防火墙将局域网的安全性统一到它本身，网络安全性是在防火墙系统上得到加固，而不是分布在内部网络的所有节点上，这就简化了局域网安全管理。