4.4　防火墻簡介

在古時候，發生火災時火勢往往會蔓延到其他的住所去，人們為了防止火災發生時火勢的蔓延，常在住所之間砌起一道磚墻以阻擋火勢，而這道墻就稱為“防火墻”。而今防火墻的概念延伸到了網絡安全應用上，防火墻最早以硬件的形態出現，但是要架設網絡防火墻需要投入相當大的資金用于購買硬件設施，而且主要用于保護由許多計算機所組成的大型網絡。隨著網絡的快速發展，連接到因特網的用戶不斷增加，防黑客入侵開始受到重視，因此開始出現了以軟件形態為主的防火墻。

建立防火墻的主要目的是保護屬于我們自己的網絡不受來自網絡上的攻擊。也就是說，我們所要防備的是外部網絡，因為可能會有人從外部網絡對我們發起攻擊，所以需要在內部網絡和不安全的非信任網絡之間筑起一道防火墻，如圖4-14所示。

4.4.1　防火墻的工作原理

雖然防火墻介于內部網絡與外部網絡之間，并保護著內部網絡不受外界不信任網絡的威脅，但它并不是將外部的網絡連接請求完全阻擋在外，因為這樣一來便失去了連接到因特網的意義。就某些觀點來看，防火墻實際上代表了一個網絡的訪問原則。每個防火墻都代表一個單一進入點，所有進入網絡的訪問行為都會被檢查并賦予授權及認證。防火墻會根據一套設置好的規則來過濾可疑的網絡訪問行為，并發出警告，即確定哪些類型的信息數據分組可以進出防火墻，而什么類型的信息數據分組則不能通過防火墻。

4.4.2　防火墻的分類

公司防火墻是使用路由器、服務器以及各種軟件構建的硬件和軟件組合系統。防火墻會設置在公司網絡和因特網之間最容易受到攻擊的地方，并且可以由系統管理員設置為簡單或復雜。防火墻大致可分為“數據分組過濾型”（Packet Filtering，或稱為數據包過濾型）與“代理服務器型”（Proxy Server）兩種。

• 數據分組過濾型

在數據分組過濾型防火墻中，監控路由器會檢測在因特網和公司網絡之間傳輸的每個數據分組的報頭（header）。報頭內含發送者和接收者的IP地址、發送數據分組所使用的協議等信息。當這些數據分組被送到因特網上時，路由器會根據目的IP地址來選擇一條適當的路徑進行傳送。在這種情況下，數據分組可能會經由不同的路徑送達目的IP地址，當所有的數據分組抵達后，便會進行組裝還原的操作。數據分組過濾型防火墻會檢查所有收到的數據分組內的源IP地址，并按照系統管理員事先設置好的規則加以過濾。如果數據分組內的源IP在過濾規則內為禁止訪問，防火墻便會將所有來自這個IP地址的數據分組丟棄。這種數據分組過濾型的防火墻大部分都由路由器來擔任。例如，路由器可以阻擋除了電子郵件之外的任何數據分組，同時還可以阻擋通往可疑地址以及來自特定用戶的數據流。

• 代理服務器型

代理服務器防火墻又稱為“應用網關防火墻”（Application Gateway Firewall），它的安全性比數據分組過濾型防火墻高，但只適用于特定的網絡服務，例如HTTP、FTP或Telnet等。事實上，此類型的防火墻是通過代理服務器來進行訪問控制的。代理服務器是客戶端與服務器之間的一個中介服務者，當代理服務器收到客戶端A對某網站B的網絡連接請求時，代理服務器會先判斷該請求是否符合訪問規則，若符合訪問規則，服務器便會去網站B將數據取回，并傳回客戶端A。圖4-15所示為使用代理服務器型防火墻保護內部網絡的示意圖。

因為只有單臺代理服務器（取代網絡中許多計算機）和因特網互動，所以可以確保安全性。由此可知，外部網絡只能看見代理服務器，而無法窺知內部網絡真實的資源分布情況。

• 軟件防火墻

搭建硬件防火墻的成本較高，并不是所有人都能負擔的，個人網絡用戶的網絡安全意識也在不斷提高，但是硬件防火墻對這些用戶而言顯然并不適合，于是便有了軟件防火墻的需求。個人防火墻是設置在家庭計算機中的軟件，可以像公司防火墻保護公司網絡一樣保護家庭計算機。軟件防火墻所采用的技術與數據分組過濾型防火墻如出一轍，但它包括源IP地址限制以及端口限制等功能。例如，Windows操作系統本身也有內建的軟件防火墻功能。