防火墙技术-防火墙分类

《计算机网络安全》学习

防火墙概述

防火墙（Firewall）是设置在被保护网络和外部网络之间的一道屏障，实现网络的安全保护，以防止发生不可预测的、潜在破坏性的侵入。防火墙本身具有较强的抗攻击能力，它是提供信息安全服务、实现网络和信息安全的基础设施。

防火墙，也称防护墙，由Check Point公司创立者Gil Shwed于1993年发明并引入互联网。防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线，其作用是防止非法用户的进入。

防火墙是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关，从而保护内部网免受非法用户的侵入。

防火墙也可以应用于企业内部不同安全级别的网络之间，进行安全防护。
防火墙主要由服务访问规则、验证工具、包过滤组成。
防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

防火墙的分类

按照所在的层次和作用分类

可以将防火墙分为网络层防火墙、应用层防火墙和数据库防火墙三种。

1. 网络层防火墙
   网络层防火墙可视为一种IP封包过滤器，运作在底层的TCP/IP协议栈上。可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则一般可以由管理员定义或修改，不过某些防火墙设备只能套用内置的规则。也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能。较新的防火墙能利用封包的多样属性来进行过滤，如来源IP地址、来源端口号、目的IP地址或端口号、服务类型（如HTTP或FTP），也能由通信协议、TTL值、来源的网域名称或网段等属性来过滤。

2. 应用层防火墙
   应用层防火墙是在TCP/IP栈的“应用层”上运作，使用浏览器时所产生的数据流或使用FTP等应用层协议时的数据流都属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包（一般是直接将封包丢弃）。理论上，这类防火墙可以完全阻绝外部的数据流进到受保护的机器里。

防火墙可以通过监测所有的封包并找出不符合规则的内容，防范计算机蠕虫或木马程序的快速蔓延。不过就实现而言，这个方法既繁且杂（由于软件的种类太多了），所以大部分的防火墙都不会思考以这种方法设计。

3. 数据库防火墙
   数据库防火墙是一种基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。

数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。数据库防火墙面对外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。

按照存在形态分类

防火墙可以分为软件防火墙和硬件防火墙

软件防火墙的特点如下：

• 主要使用独立的软件实现防火墙的功能，需要准备额外的操作系统平台。

• 安全性依赖低层的操作系统。

• 网络适应性弱（主要以路由模式工作）。

• 稳定性高。

• 软件分发、升级比较方便。

硬件防火墙的特点如下：

• 使用专用的硬件和软件实现，不用准备额外的操作系统平台。

• 安全性完全取决于专用的操作系统。

• 网络适应性强（支持多种接入模式）。

• 稳定性较高。

• 升级、更新不太灵活。

按照保护对象分类

防火墙可以分为单机防火墙和网络防火墙。