文档介绍:什么是防火墙?
  什么是防火墙?
防火墙是一种机制,用于控制和监视网络上来往的信息流,目的是保护网络上的设备。流过的信息要与预定义的安全标准或政策进行比较,丢弃不符合政策要求的信息。实际上,它是一个过滤器,阻止了不必要的网络流量,限制了受保护网络与其它网络(如因特网,或站点网络的另一部分)之间通信的数量和类型。下图显示了一个简单的防火墙,禁止来自因特网对个人计算机(PC)和可编程逻辑控制器(plc)的访问,但允许对企业Web服务器的访问。
图:一个简化的防火墙举例
防火墙类型
防火墙具有很多不同的设计和配置。它可以是一个连接到网络的单独物理硬件设备(如思科的PIX®或赛门铁克的安全网关防火墙),可以是一个带有操作系统和防火墙功能(如运行在Linux®服务器上的“iptables”)的硬件/软件单元,甚至可以是一个完全基于主机的软件解决方案,即直接在工作站上安装防火墙软件(如诺顿的个人防火墙®或Sygate的个人防火墙)。
独立的硬件或硬件/软件单元通常被称为网络防火墙,通常是最安全的解决方案,把企业网络与工业自动化控制网络()分开。它们是专用的功能单元,除了个别例外,加固后可以抵挡一切攻击。此外,网络防火墙通常提供最佳的管理选项,因此通常允许对它们进行远程管理。
基于主机的防火墙通常能够接受某些妥协,因为主机的主要功能不是安保,通常要完成一些工作站或服务器的任务,例如数据库访问或Web服务。
同时,基于主机的防火墙解决方案目前仅适用于Windows或基于Unix的平台,只能为网络上的嵌入式控制设备(如PLC)做一定的流量管理。/ 监控与数采(SCADA)网络上,但它们通常在我们今天要考虑的范围之外。因此,除少数情况外, / SCADA防火墙是一个专用的硬件或硬件/软件解决方案,通过一系列规则,对传送到控制网络信息流实施允许或拒绝。
防火墙分类
网络使用离散的位组发送数据,通常把一定数量的位组称为数据包。每个数据包通常包含若干个独立的信息,包括(但不限于)的项目有:
•发件人的身份(源地址);
•收件人的身份(目的地址);
•包涉及的服务(端口号);
•网络操作和状态标志;
•把数据的有效载荷传递到该服务。
接收一个数据包时,防火墙对包的这些特征进行分析,并决定对这个包采取什么行动。可以选择丢弃该包、允许立即通过、因带宽限制而暂时缓存,或转发给不同的收件人–应按照网络安全策略采取适当的行动。
这些决定都基于一系列的规则,该规则通常被称为访问控制列表(ACL)。防火墙具有不同的类型,每种类型都具有复杂的分析和行动能力。下面给予分别介绍。
最简单一类的防火墙被称为包过滤防火墙。它具有一系列的静态规则,对收到的报文按规则采取行动。下面的示例表明了包过滤防火墙是如何按规则处理数据包的:
•在用户数据报协议(UDP)端口53上接受域名服务(DNS)响应数据包;
•阻止因特网协议(IP);
•通过阻断传输访问控制协议(TCP)端口80、443、3128、8000和8080传出的数据包以阻止网