任何系統或設備允許安全的網(wǎng)絡(luò )流量通過(guò)，同時(shí)限制或拒絕不安全的流量。防火墻通常是在本地網(wǎng)絡(luò )和外部世界之間的網(wǎng)關(guān)處運行的專(zhuān)用機器，用于控制誰(shuí)可以從外部訪(fǎng)問(wèn)您的私人公司網(wǎng)絡(luò )。例如，通過(guò)互聯(lián)網(wǎng)。更一般地說(shuō)，防火墻是控制兩個(gè)網(wǎng)絡(luò )之間通信的任何系統。在今天的網(wǎng)絡(luò )環(huán)境中，公司網(wǎng)絡(luò )與互聯(lián)網(wǎng)邀請黑客連接，嘗試未經(jīng)授權訪(fǎng)問(wèn)有價(jià)值的商業(yè)信息 - 公司防火墻至關(guān)重要。

防火墻的類(lèi)型：

網(wǎng)絡(luò )級防火墻

簡(jiǎn)單防火墻有時(shí)稱(chēng)為網(wǎng)絡(luò )級防火墻，因為它在開(kāi)放系統互連（OSI）參考模型的較低級別運行，用于聯(lián)網(wǎng)。網(wǎng)絡(luò )級防火墻對用戶(hù)是透明的，并使用路由技術(shù)來(lái)確定哪些數據包可以通過(guò)，哪些數據包將被拒絕訪(fǎng)問(wèn)專(zhuān)用網(wǎng)絡(luò )。僅在獨立路由器上實(shí)施的網(wǎng)絡(luò )級防火墻稱(chēng)為包過(guò)濾路由器或屏蔽路由器。

從最簡(jiǎn)單的形式來(lái)看，防火墻實(shí)質(zhì)上就是一種路由或帶有兩個(gè)接口卡的計算機，用于過(guò)濾進(jìn)入的網(wǎng)絡(luò )數據包。這個(gè)設備通常被稱(chēng)為包過(guò)濾路由。通過(guò)將這些數據包的源地址與指定防火墻安全策略的訪(fǎng)問(wèn)列表進(jìn)行比較，路由器將確定是將數據包轉發(fā)到其預定目的地還是停止它們。防火墻可以簡(jiǎn)單地檢查發(fā)送數據包的IP地址或域名，并確定是允許還是拒絕流量。但是，數據包過(guò)濾路由器不能用于根據用戶(hù)的憑據授予或拒絕對網(wǎng)絡(luò )的訪(fǎng)問(wèn)。

數據包過(guò)濾路由器也可以配置為阻止某些類(lèi)型的流量，同時(shí)允許其他流量。通常這是通過(guò)在防火墻系統上禁用或啟用不同的TCP / IP端口來(lái)完成的。例如，端口25通常處于打開(kāi)狀態(tài)，以允許簡(jiǎn)單郵件傳輸協(xié)議（SMTP）郵件在專(zhuān)用網(wǎng)絡(luò )和Internet之間傳輸，而其他端口（例如Telnet的端口23）可能被禁用以防止用戶(hù)訪(fǎng)問(wèn)其他服務(wù)在企業(yè)網(wǎng)絡(luò )服務(wù)器上。這種方法的難點(diǎn)在于，如果大量域或端口被阻塞并且大量例外被配置，則防火墻的訪(fǎng)問(wèn)列表可能變得很大。某些端口在啟動(dòng)時(shí)被隨機分配給某些服務(wù)（如遠程過(guò)程調用服務(wù)）;

電路級防火墻：

另一種類(lèi)型的防火墻是電路級網(wǎng)關(guān)，通常是代理服務(wù)器的組件。電路級網(wǎng)關(guān)本質(zhì)上在OSI模型協(xié)議棧的較高級別運行，而不是網(wǎng)絡(luò )級防火墻。使用電路級防火墻時(shí)，遠程用戶(hù)將隱藏與專(zhuān)用網(wǎng)絡(luò )的連接。遠程用戶(hù)與防火墻連接，并且防火墻通過(guò)防火墻更改正在傳輸的數據包的IP地址后，防火墻與正在訪(fǎng)問(wèn)的網(wǎng)絡(luò )資源形成單獨的連接。結果是遠程用戶(hù)和網(wǎng)絡(luò )資源之間的一種虛擬電路。與包過(guò)濾路由器相比，這是一種更安全的配置，因為外部用戶(hù)從未看到包或內網(wǎng)中的內部網(wǎng)絡(luò )的IP地址，而只接收防火墻的IP地址。

應用級防火墻：

另一種更高級的防火墻是應用級防火墻（或應用網(wǎng)關(guān)），它通常也是代理服務(wù)器的組件。應用網(wǎng)關(guān)不允許任何數據包在它們連接的兩個(gè)網(wǎng)絡(luò )之間直接通過(guò)。相反，在防火墻計算機上運行的代理應用程序將請求轉發(fā)到專(zhuān)用網(wǎng)絡(luò )上的服務(wù)，然后將響應轉發(fā)給不安全的公共網(wǎng)絡(luò )上的發(fā)起人。

應用網(wǎng)關(guān)通常在允許訪(fǎng)問(wèn)網(wǎng)絡(luò )之前認證用戶(hù)的憑證，并且他們使用審計和記錄機制作為其安全策略的一部分。應用網(wǎng)關(guān)通常需要用戶(hù)進(jìn)行一些配置才能使其客戶(hù)端計算機正常工作，但與網(wǎng)絡(luò )級防火墻相比，它們在配置上更具原子性。例如，如果在應用程序網(wǎng)關(guān)上配置了文件傳輸協(xié)議（FTP）代理，則可以將其配置為允許某些FTP命令但拒絕其他FTP命令。您還可以在應用程序網(wǎng)關(guān)上配置一個(gè)SMTP代理，以接受來(lái)自外部的郵件（不會(huì )泄露內部電子郵件地址），然后將郵件轉發(fā)到內部郵件服務(wù)器。但是，由于額外的處理開(kāi)銷(xiāo)，