防火墙（Firewall）是设置在被保护网络和外部网络之间的一道屏障，以防发生不可预测的、潜在的破坏性侵入。它可通过监测、限制或更改跨越防火墙的数据流，尽可能地对外部屏蔽内部网络的信息、结构和运行状况，以此来实现网络的安全保护。在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域与安全区域的连接，同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量；仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据。

（一）防火墙的基本类型

1.包过滤型防火墙

包过滤型防火墙（Packet Filter Firewall）通常安装在路由器上，并且大多数商用路由器都提供了包过滤的功能。这是一种基于路由器的防火墙，它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。防火墙的职责就是根据访问表对进出路由器的分组进行检查和过滤，凡符合要求的放行，不符合的拒之门外。分组过滤技术的最大优点是简单易行，对用户透明，传输性能高。但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址、目的地址和端口号，因而只能进行较为初步的安全控制，不能完全有效地防范非法攻击，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。包过滤型防火墙通常直接转发报文，对用户完全透明，速度较快。

2.代理服务型防火墙

代理服务型防火墙（Proxy Service Firewall）通常由服务器端程序和客户端程序两部分构成。这是一种基于代理服务的防火墙，它是运行于内部网络与外部网络之间的主机之上的一种应用。当用户需要访问代理服务器另一侧主机时，对符合安全规则的连接，代理服务器会代替主机响应，并重新向主机发出一个相同的请求。当此连接请求得到回应并建立起连接之后，内部主机同外部主机之间的通信将通过代理程序将相应连接映射来实现。对于用户而言，似乎是直接与外部网络相连的，代理服务器对用户透明。由于代理机制完全阻断了内部网络与外部网络的直接联系，保证了内部网络拓扑结构等重要信息被限制在代理网关内侧，因此这种防火墙的安全性较高，但它只能抵御经由防火墙的攻击，不能防止内部应用软件所携带的数据和病毒或其他方式的袭击，也不能对内部计算机系统未授权的物理袭击提供安全保证。代理服务型防火墙是通过代理服务来建立连接，内部网与外部网之间不存在直接的连接，同时提供日志（Log）及审计（Audit）服务。

以上两种防火墙的主要区别在于：包过滤型防火墙通常直接转发报文，对用户完全透明，速度较快；而代理服务型防火墙是通过代理服务来建立连接，它有更强的身份认证和日志功能。目前，比较完善的防火墙系统通常结合使用两种技术。代理服务可以大大降低分组过滤规则的复杂度，是分组过滤技术的重要补充。

3.状态监视器防火墙

状态监视器防火墙的安全特性较好，它采用了一个在网关上执行网络安全策略的软件引擎，称为检测模块。检测模块在不影响网络正常工作的前提下，采用抽取状态信息的方法对网络通信的各层实施监测，并动态地保存起来作为做出安全决策的参考。

当用户访问到达网关的操作系统前，状态监视器要抽取有关数据进行分析，结合网络配置和安全规定做出接纳、拒绝、鉴定或给该通信加密等决定。一旦某个访问违反安全规定，安全报警器就会拒绝该访问，并被记录，向系统管理器报告网络状态。

（二）防火墙的体系结构

1.双重宿主主机体系结构

双重宿主主机体系结构是围绕双重宿主主机计算机构筑的，该计算机至少有两个网络接口。这样的主机可以充当与这些接口相连的网络之间的路由器。双重宿主主机的防火墙体系结构禁止从一个网络到另一个网络直接发送IP数据包。因而，IP数据包从一个网络并不是直接发送到其他网络。防火墙内部的系统能与双重宿主主机通信，同时防火墙外部的系统也能与双重宿主主机通信，但是这些系统不能直接相互通信。它们之间的IP通信被完全阻止。双重宿主主机的防火墙体系结构是相当简单的：双重宿主主机位于两者之间，并且被连接到Internet和内部的网络。

双重宿主主机能提供级别非常高的控制。假设不允许数据包在外部和内部网络之间传输，如果内部网络上有任何具有外部源的数据包，那么可以断定在安全上存在某种问题。在某些情况下，双重宿主主机将允许用户拒绝那些声称旨在提供特殊服务，但是又不包含正确的数据种类的连接。

2.被屏蔽主机体系结构

双重宿主主机体系结构提供来自与多个网络相连的主机的服务（但是路由关闭），而被屏蔽主机体系结构使用一个单独的路由器提供来自仅仅与内部的网络相连的主机的服务，所有的外部主机必须与一个堡垒主机相连接，而不让它们直接与内部主机相连。(www.daowen.com)

屏蔽主机防火墙由包过滤路由器和堡垒主机组成。在屏蔽的路由器上的数据包过滤是按这样一种方法设置的：即堡垒主机是Internet上的主机能连接到内部网络上的系统的桥梁，任何外部的系统试图访问内部的系统或者服务将必须连接到这台堡垒主机上，当然也允许堡垒主机开放可允许的连接到外部世界。多数情况下，被屏蔽的主机体系结构提供比双重宿主主机体系结构具有更好的安全性和可用性。被屏蔽主机体系结构如图5-9所示。

3.被屏蔽子网体系结构

被屏蔽子网体系结构添加了安全层到被屏蔽主机体系结构，即通过添加周边网络更进一步地把内部网络与Internet隔离开，通过在周边网络上隔离堡垒主机，能减少在堡垒主机上侵入的影响。被屏蔽子网体系结构最简单的形式为，两个屏蔽路由器，每一个都连接到周边网，一个位于周边网与内部的网络之间，另一个位于周边网与外部网络之间。对于周边网络，如果入侵周边网上的堡垒主机，仅能探听到周边网上的通信。因为所有周边网上的通信来自或者通往堡垒主机或Internet。被屏蔽子网体系结构如图5-10所示。

图5-9　被屏蔽主机体系结构

图5-10　被屏蔽子网体系结构

（三）防火墙的功能

1.防火墙是网络安全的屏障

防火墙作为内部网络的阻塞点、控制点能极大地提高内部网络的安全性，降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

2.防火墙可以强化网络安全策略

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。

3.对网络存取和访问进行监控审计

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据。当发生情况时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况，这可以用于分析防火墙是否能够抵挡攻击者的探测和攻击，以及防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

4.防止内部信息的外泄

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。