防火墙浅谈

Fire Wall
随着Internet的快速发展，网络安全越来越被人们重视，防火墙技术不断的更新更是说明了这一点。
什么是防火墙？
防火墙是采用综合的网络技术设置在被保护网络和外部网络之间的一道屏障，用以分隔被保护网络与外部网络系统，防止发生不可预测的、潜在破坏性的入侵。它是不同网络或网络安全域之间信息的唯一出口，像在两个网络之间设置了一道关卡，能根据设置的安全策略控制出入网络的信息流，防止非法信息流入被保护的网络中，而不影响保护网络对Internet的正常访问。在Internet上，防火墙是一个非常有效的网络安全模型，并且自身有很强的抗攻击能力。防火墙已经经历了六代的发展，最新的一代就是智能型抗DD.o.S防火墙。
什么是访问控制？
访问控制是信息安全保障机制的核心内容，他是实现数据保密性和完整性机制的主要手段。访问控制是为了限制访问主体对访问客体的访问权限，从而使计算机系统在合法的范围内使用。访问控制机制决定用户及代表一定用户利益的程序能做什么，做到什么程度。访问控制应用在网络安全中，主要是限制用户可以建立什么样的连接以及传输什么样的数据。访问控制就是防火墙的核心，防火墙主要通过一个访问控制表来判断的，他的形式一般是一连串的如下规则：
1. Accept from+ 源地址，端口 To+ 目的地址，端口+ 采取的动作（允许数据包进入）
2. Deny ...........（拒绝数据包进入）
3. Nat ............(网络地址转换)
防火墙在网络层（包括以下的链路层）接受到网络数据包后，就会从上面的规则连表一条一条地匹配，如果符合就执行预先安排的动作了，如丢弃包，但不同的防火墙在判断攻击行为时有实现上的差别。
访问控制列表（Access Control List）的作用：
1． ACL可以限制网络流量、提高网络性能。
2． ACL提供对通信流量的控制手段。
3． ACL是提供网络安全访问的基本手段。
4． ACL可以在路由器端口处决定哪种类型的通信流量被转发或阻塞。
防火墙大致上分为以下三类：
1． 应用级防火墙（软件防火墙）
应用级防火墙一般是运行代理服务的主机，它不允许传输流在网络上直接传输，并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件，因此它的位置最适合实现访问控制。在某些情况下，设置了应用级防火墙后对性能或许会造成一些影响，会使防火墙不太透明。应用级防火墙可以提供很详细的审计报告。
2． 网络级防火墙（硬件防火墙）
网络防火墙一般都是根据源、目的地址做出决策，传输单个的IP包。路由就是简单的网络级防火墙，但现在已经跟不上我们的要求了，它不能做出复杂的决策，不能判断包的实际出处和包的实际含义。专业的硬件防火墙已经出来了，但不是一般用户能消费的起的，所以还没有普及。许多网络级防火墙之间的重要差别就是防火墙可以使传输流直接通过，因此要使用这样的防火墙需要分配有效的IP块。一般网络级防火墙的速度很快。
3． 双宿主机防火墙（堡垒主机）
这种防火墙一般用主机来取代路由执行完全控制功能，类似于包过滤防火墙。双宿主机是一台配有多个网络接口的主机，可以用来内部网络和外部网络之间进行寻径，正因为这个功能，它们可以共享数据，这样内部网络和外部网络的某些节点之间可以通过双宿主机上的共享数据传递信息，但内部网络和外部网络却不能直接跳过双宿主机传递信息，从而达到保护内部网络的作用。
防火墙的优缺点
1．包过滤防火墙