理论教育 防火墙的定义-《信息安全基础》

防火墙的定义-《信息安全基础》

时间:2023-11-24 理论教育 版权反馈
【摘要】:传统意义上的防火墙,其本意是指发生火灾时,用来防止火势蔓延的一道障碍物。图5-5防火墙在网络中的位置防火墙最初的设计思想:内部网络被认为是安全和可信赖的,外部网络被认为是不安全和不可依赖的。防火墙对外部进入的通信数据进行过滤,防止不希望的、未经授权的通信进入被保护的内部网络。这个是网络防火墙的位置特性,同时也是防火墙实现过滤功能的前提。防火墙本身是不可侵入的。

防火墙的定义-《信息安全基础》

传统意义上的防火墙(Firewall),其本意是指发生火灾时,用来防止火势蔓延的一道障碍物。在古代构筑和使用木质结构房屋的时候,为防止火灾的发生和蔓延,人们将坚固的石块堆砌在房屋周围作为屏障,这种防护构筑物被称为防火墙。

在20世纪80年代的时候,防火墙的概念被引入到计算机网络中,防火墙被赋予了一个类似但又全新的含义。当一个网络接到Internet上,它的用户可以访问外部世界并与之通信。同时,外部世界也同样可以访问该网络并与之交互。为了安全起见,可以在该网络和Internet之间设置一个中介系统,竖起一道安全屏障。这道屏障的作用是阻断来自外部网络对本网络的威胁和入侵,提供保护本网络安全和审计的关卡,其作用与古代的防火墙有类似之处,因此把这个屏障称为网络防火墙,或简称为防火墙。

网络防火墙是设置在不同网络(如可信的企业内部网和不可信的公共网)或网络安全域之间的实施访问控制的一组组件的集合,且本身具有较强的抗攻击能力。它用于隔离两个或多个网络,限制网络互访,以保护网络安全,如图5-5所示。

图5-5 防火墙在网络中的位置

防火墙最初的设计思想:内部网络被认为是安全和可信赖的,外部网络被认为是不安全和不可依赖的。防火墙对外部进入的通信数据进行过滤,防止不希望的、未经授权的通信进入被保护的内部网络。对内部网络用户发出的信息不做任何限制。后来,防火墙对过滤机制进行了改变,对内部网络用户发出的连接请求和数据包同样进行过滤,只有符合安全策略的数据包才可以通过。

防火墙一般安放在被保护网络的边界,要使防火墙对内部网络起到安全防护的作用,必须做到以下几点:

(1)所有进出被保护网络的通信,都必须要经过防火墙的过滤。

这个是网络防火墙的位置特性,同时也是防火墙实现过滤功能的前提。因为只有当防火墙是网络之间数据传输的唯一通道时,才可能对所有的数据包进行过滤,以拒绝非法用户的入侵。

(2)只有符合安全策略的数据包才可以通过防火墙。(www.daowen.com)

防火墙之所以能够对内部网络起到一定的安全保护作用,主要依据的是网络管理员设置的安全策略,即数据包过滤机制。这些过滤机制使得允许通过的数据包不受任何影响,而不允许的数据包则全部拒绝。

(3)防火墙本身是不可侵入的。

防火墙本身必须具有非常强的抗攻击能力和对攻击的免疫能力,防火墙本身不可侵入,这是防火墙能够担当网络安全防护重任的先决条件。防火墙之所以具备非常强的抗入侵能力,与其操作系统是分不开的。只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次,防火墙具有非常低的服务功能,除了专业的防火墙嵌入系统外,再没有其他应用程序在防火墙上运行。

防火墙用于控制访问与加强站点安全策略主要用到的4项技术:

(1)服务控制:用于决定哪些服务可以被访问。

(2)方向控制:用于决定特定的服务请求可以从哪些方向上发起并通过防火墙。

(3)用户控制:服务器根据用户的权限来控制他的访问。

(4)行为控制:控制对一个具体服务的使用。例如,防火墙可以通过过滤邮件来清除邮件。

免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。

我要反馈