一、何為防火牆?
想了解什麼是防火牆我得先從“防火牆”這個詞的來源說起:
古代構築和使用木製結構房屋的時候為防止火災的發生和蔓延,人們將堅固的石塊堆砌在房屋周圍作為屏障,這種防護構築物就被稱為“防火牆”(FireWall)。特別在我國防火牆甚至成為單獨的建築風格,如著名的閩東封火牆,徽派馬頭牆。
隨著計算機和網絡的發展,各種攻擊入侵手段也相繼出現了,為了保護計算機的安全,人們開發出一種能阻止計算機之間直接通信的技術,並沿用了古代類似這個功能的名字——“防火牆”技術來源於此。
徽派馬馬頭牆
二、防火牆的工作原理:
在網絡中,所謂“防火牆”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火牆是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡。換句話說,如果不通過防火牆,公司內部的人就無法訪問Internet,Internet上的人也無法和公司內部的人進行通信。而為了達到這一目的有衍生出多種技術,下面具體說明。
防火牆原理圖
三、防火牆的技術:
傳統意義上的防火牆技術分為三大類,“包過濾”(Packet Filtering)、“應用代理”(ApplicationProxy)和“狀態監視”(Stateful Inspection),無論一個防火牆的實現過程多麼複雜,歸根結底都是在這三種技術的基礎上進行功能擴展的。
1.包過濾技術
包過濾是最早使用的一種防火牆技術,包過濾技術工作的地方就是各種基於TCP/IP協議的數據報文進出的通道,它把這兩層作為數據監控的對象,對每個數據包的頭部、協議、地址、端口、類型等信息進行分析,並與預先設定好的防火牆過濾規則(Filtering Rule)進行核對,一旦發現某個包的某個或多個部分與過濾規則匹配並且條件為“阻止”的時候,這個包就會被丟棄。
2.應用代理技術
應用代理(Application Proxy)技術是指在web服務器上或某一臺單獨主機上運行代理服務器軟件,對網絡上的信息進行監聽和檢測,並對訪問內網的數據進行過濾,從而起到隔斷內網與外網的直接通信的作用,保護內網不受破壞。在代理方式下,內部網絡的數據包不能直接進入外部網絡,內網用戶對外網的訪問變成代理對外網的訪問。同樣,外部網絡的數據也不能直接進入內網,而是要經過代理的處理之後才能到達內部網絡。
3.狀態監視技術
這是繼“包過濾”技術和“應用代理”技術後發展的防火牆技術,它是CheckPoint技術公司在基於“包過濾”原理的“動態包過濾”技術發展而來的,與之類似的有其他廠商聯合發展的“深度包檢測”(Deep Packet Inspection)技術。這種防火牆技術通過一種被稱為“狀態監視”的模塊,在不影響網絡安全正常工作的前提下采用抽取相關數據的方法對網絡通信的各個層次實行監測,並根據各種過濾規則作出安全決策。
計算機網絡
四. 技術展望
未來防火牆趨勢已經開始有一些曾照了,一些新的技術已經在實際中應用如:多級過濾技術、分佈式防火牆技術、邊界防火牆等等的發展,多謝每一個孜孜不倦專研的程序員,是他們為我們能夠享受如此高質量的網絡世界做出的巨大努力。
閱讀更多 星橙天文 的文章
