文档介绍:、,最初它被定义为一个实施某些安全策略以保护一个可信网络,用以防止来自一个不可信的网络()攻击的装置。那么防火墙的名称是从何而来的呢?在房屋还多为木质结构的时代,人们将石块堆砌在房屋周围用来防止火灾的发生,这种墙被称为防火墙。在现在的电子世界中,人们仍然依靠防火墙来保护敏感的数据,不过这些防火墙是由采用先进技术的计算机砌成的。人们逐渐意识到威胁不仅来自网络外还来自网络内,并且在技术上也有可能采用更多的解决方案,所以现在防火墙被定义为:在两个网络之间实施安全策略要求的访问控制的一个系统或系统组。防火墙就是一个或一组网络设备(计算机或路由器等),可用来在两个或多个网络间加强访问控制。它的实现有多种形式,有些实现很复杂,但基本原理却很简单。***舵芽倒嚷皖惩网络安全基础教程第6章网络安全专题网络安全基础教程第6章网络安全专题可以把它想象成一对开关,一个开关用来阻止传输,另一个开关用来允许传输。防火墙可以设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间,它是不同网络或网络安全域之间信息的唯一出入口,能根据企业的安全政策控制(允许、拒绝、监测)出入网络的信息流,并且本身具有较强的抗攻击能力。它是提供信息安全服务、实现网络和信息安全的基础设施。在逻辑上,防火墙是一个分离器、一个限制器,也是一个分析器,之间的任何活动,保证了内部网络的安全,如图6-1所示。。通常,被保护的网络属于用户自己,或者是用户负责管理,而所要防备的网络则是一个外部的网络,该网络是不可信的,因为可能有人会从该网络上对用户的网络发起攻击,破坏网络安全。对网络的保护包括下列工作:拒绝未经授权的用户访问,阻止未经授权的用户存取敏感数据,同时允许合法用户不受妨碍地访问网络资源。下面是防火墙的主要功能。(1)防火墙是网络安全的屏障。一个防火墙(作为阻塞点、控制点)能极大地提高一个内部网络的安全性,并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙,所以网络环境变得更安全。,这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击,如IP选项中的源路由攻击和ICMP重定向中的重定向攻击。防火墙可以拒绝所有以上类型攻击的报文并通知防火墙管理员。(2)防火墙可以强化网络安全策略。通过以防火墙为中心的安全方案配置,能将所有安全软件(如口令、加密、身份认证、审计等)配置在防火墙上。与将网络安全问题分散到各个主机上相比,防火墙的集中安全管理更经济。例如在访问网络时,口令系统和其他的身份认证系统完全可以不分散在各个主机上,而是集中在防火墙上。(3)对网络存取和访问进行监控审计。如果所有的访问都经过防火墙,那么,防火墙就能记录下这些访问并得出日志记录,同时也能提供网络使用情况的统计数据。当发生可疑动作时,防火墙能进行适当的报警,并提供网络是否受到监测和攻击的详细信息。另外,收集一个网络的使用和误用情况也是非常重要的,首先是可以清楚防火墙是否能够抵挡攻击者的探测和攻击,并且清楚防火墙的控制是否充足,而且网络使用统计对网络需求分析和威胁分析等也是非常重要的。(4)防止内部信息的外泄。利用防火墙对内部网络进行划分,可实现内部网重点网段的隔离,从而限制局部重点或敏感网络安全问题对全局网络造成的影响。