什么是防火墙？防火墙的类型有哪些

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙的主要类型

1、过滤防火墙

过滤防火墙，顾名思义，就是在计算机网络中起一个过滤的作用。这种防火墙会根据已经预设好的过滤规则，对在网络中流动的数据包进行过滤行为。如果符合过滤规则的数据包会被放行，如果数据包不满足过滤规则，就会被删除。数据包的过滤规则是基于数据包报审的特征的。防火墙通过检查数据包的源头IP地址，目的IP地址，数据包遵守的协议，端口号等特征来完成。第一代的防火墙就属于过滤防火墙。

2、应用网关防火墙

已经介绍了的过滤防火墙在 OSI七层协议中主要工作在数据链路层和IP层。与之不同的是，应用网关防火墙主要工作在最上层应用层。不仅如此，相比于基于过滤的防火墙来说，应用网关防火墙最大的特点是有一套自己的逻辑分析。基于这个逻辑分析，应用网关服务器在应用层上进行危险数据的过滤，分析内部网络应用层的使用协议，并且对计算机网络内部的所有数据包进行分析，如果数据包没有应用逻辑则不会被放行通过防火墙。

3、服务防火墙

上述的两种防火墙都是应用在计算机网络中来阻挡恶意信息进入用户的电脑的。服务防火墙则有其他的应用场景，服务防火墙主要用于服务器的保护中。在现在的应用软件中，往往需要通过和服务器连接来获得完整的软件体验。所以服务防火墙也就应运而生。服务防火墙用来防止外部网络的恶意信息进入到服务器的网络环境中。

4、监控防火墙

如果说之前介绍的防火墙都是被动防守的话，那么监控防火墙则是不仅仅防守，还会主动出击。一方面监控防火墙可以像传统的防火墙一样，过滤网络中的有害数据。另一方面，监控防火墙可以主动对数据进行分析和测试，得到网络中是否存在外部攻击。这种防火墙对内可以过滤，对外可以监控。从技术上来说，是传统防火墙的重大升级。

5、应用代理类型防火墙

应用代理防火墙主要的工作范围就是在OSI的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙，其他一些防火墙应用效果也较为显著，在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型，这样才可以有效地避免防火墙的外部侵扰等问题的出现。

百度百科-防火墙、百度百科-防火墙技术

1、应用代理服务器（Application Gateway Proxy）
在网络应用层提供授权检查及代理服务。当外部某台主机试图访问受保护网络时，必须先在防火墙上经过身份认证。通过身份认证后，防火墙运行一个专门为该网络设计的程序，把外部主机与内部主机连接。在这个过程中，防火墙可以限制用户访问的主机、访问时间及访问的方式。同样，受保护网络内部用户访问外部网时也需先登录到防火墙上，通过验证后，才可访问。
应用网关代理的优点是既可以隐藏内部IP地址，也可以给单个用户授权，即使攻击者盗用了一个合法的IP地址，也通不过严格的身份认证。因此应用网关比报文过滤具有更高的安全性。但是这种认证使得应用网关不透明，用户每次连接都要受到认证，这给用户带来许多不便。这种代理技术需要为每个应用写专门的程序。
2、回路级代理服务器
即通常意义的代理服务器，它适用于多个协议，但不能解释应用协议，需要通过其他方式来获得信息，所以，回路级代理服务器通常要求修改过的用户程序。
套接字服务器（Sockets Server）就是回路级代理服务器。套接字(Sockets)是一种网络应用层的国际标准。当受保护网络客户机需要与外部网交互信息时，在防火墙上的套服务器检查客户的User ID、IP源地址和IP目的地址，经过确认后，套服务器才与外部的服务器建立连接。对用户来说，受保护网与外部网的信息交换是透明的，感觉不到防火墙的存在，那是因为网络用户不需要登录到防火墙上。但是客户端的应用软件必须支持 “Socketsified API”，受保护网络用户访问公共网所使用的IP地址也都是防火墙的IP地址。
3、代管服务器
代管服务器技术是把不安全的服务如FTP、Telnet等放到防火墙上，使它同时充当服务器，对外部的请求作出回答。与应用层代理实现相比，代管服务器技术不必为每种服务专门写程序。而且，受保护网内部用户想对外部网访问时，也需先登录到防火墙上，再向外提出请求，这样从外部网向内就只能看到防火墙，从而隐藏了内部地址，提高了安全性。
4、IP通道（IP Tunnels）
如果一个大公司的两个子公司相隔较远，通过Internet通信。这种情况下，可以采用IP Tunnels来防止Internet上的黑客截取信息，从而在Internet上形成一个虚拟的企业网。
5、网络地址转换器(NAT Network Address Translate)
当受保护网连到Internet上时，受保护网用户若要访问Internet，必须使用一个合法的IP地址。但由于合法Internet IP地址有限，而且受保护网络往往有自己的一套IP地址规划（非正式IP地址）。网络地址转换器就是在防火墙上装一个合法IP地址集。当内部某一用户要访问Internet时，防火墙动态地从地址集中选一个未分配的地址分配给该用户，该用户即可使用这个合法地址进行通信。同时，对于内部的某些服务器如Web服务器，网络地址转换器允许为其分配一个固定的合法地址。外部网络的用户就可通过防火墙来访问内部的服务器。这种技术既缓解了少量的IP地址和大量的主机之间的矛盾，又对外隐藏了内部主机的IP地址，提高了安全性。
6、隔离域名服务器（Split Domain Name Server ）
这种技术是通过防火墙将受保护网络的域名服务器与外部网的域名服务器隔离，使外部网的域名服务器只能看到防火墙的IP地址，无法了解受保护网络的具体情况，这样可以保证受保护网络的IP地址不被外部网络知悉。
7、邮件技术（Mail Forwarding）
当防火墙采用上面所提到的几种技术使得外部网络只知道防火墙的IP地址和域名时，从外部网络发来的邮件，就只能送到防火墙上。这时防火墙对邮件进行检查，只有当发送邮件的源主机是被允许通过的，防火墙才对邮件的目的地址进行转换，送到内部的邮件服务器，由其进行转发。

1、服务器初始安全防护

安装服务器时，要选择绿色安全版的防护软件，以防有被入侵的可能性。对网站提供服务的服务器，软件防火墙的安全设置最高，防火墙只要开放服务器端口，其他的一律都关闭，你要访问网站时防火墙会提示您是否允许访问，在根据实际情况添加允许访问列表。这样至少给系统多一份安全。

2、修改服务器远程端口。

因为有不少不法分子经常扫描公网IP端口，如果使用默认的3389或者Linux的22端口，相对来说是不安全的，建议修改掉默认远程端口。

3、设置复杂密码。

一但服务器IP被扫描出来默认端口，非法分子就会对服务器进行暴力破解，利用第三方字典生成的密码来尝试破解服务器密码，如果您的密码足够复杂，非法分子就需要大量的时间来进行密码尝试，也许在密码未破解完成，服务器就已经进入保护模式，不允许登陆。

4、修补已知的漏洞

如果网站出现漏洞时不及时处理，网站就会出现一系列的安全隐患，这使得服务器很容易受到病毒入侵，导致网络瘫痪，所以，平时要养成良好的习惯，时刻关注是否有新的需修补的漏洞。

5、多服务器保护

一个网站可以有多个服务器，网站被攻击时，那么我们就可以选择不一样的方式进行防范，针对不同的服务器，我们应该设置不同的管理，这样即使一个服务器被攻陷，其他的服务还可以正常使用。

6、防火墙技术

现在防火墙发展已经很成熟了，防火墙可以选择安全性检验强的，检验的时间会较长，运行的过程会有很大负担。如果选择防护性低的，那么检验时间会比较短。我们在选择防护墙时，要根据网络服务器自身的特点选择合适的防火墙技术。

7、定时为数据进行备份。

定时为数据做好备份，即使服务器被破解，数据被破坏，或者系统出现故障崩溃，你只需要进行重装系统，还原数据即可，不用担心数据彻底丢失或损坏。

做好网站服务器的安全维护是一项非常重要的工作，只有做好了服务器安全工作，才能保证网站可以稳定运营。要想做好网站服务器安全维护，还要学习更多的维护技巧。

网络安全是一个不容忽视的问题，当人们在享受网络带来的方便与快捷的同时，也要时时面对网络开放带来的数据安全方面的新挑战和新危险。为了保障网络安全，当园区网与外部网连接时，可以在中间加入一个或多个中介系统，防止非法入侵者通过网络进行攻击，非法访问，并提供数据可靠性、完整性以及保密性等方面的安全和审查控制，这些中间系统就是防火墙(Firewall)技术。它通过监测、限制、修改跨越防火墙的数据流，尽可能地对外屏蔽网络内部的结构、信息和运行情况、阻止外部网络中非法用户的攻击、访问以及阻挡病毒的入侵，以此来实现内部网络的安全运行。防火墙的概述及其分类网络安全的重要性越来越引起网民们的注意，大大小小的单位纷纷为自己的内部网络“筑墙”、防病毒与防黑客成为确保单位信息系统安全的基本手段。防火墙是目前最重要的一种网络防护设备，是处于不同网络(如可信任的局域内部网和不可信的公 1 内容导航防火墙概述 ：防火墙的作用、特点及优缺点 建立防火墙的安全策略 防火墙的作用、特点及优缺点防火墙通常使用在一个可信任的内部网络和不可信任的外部网络之间，阻断来自外部通过网络对局域网的威胁和入侵，确保局域网的安全。与其它网络产品相比，有着其自身的专用特色，但其本身也有着某些不可避免的局限。下面对其在网络系统中的作用、应用特点和其优缺点进行简单的阐述。防火墙的作用防火墙可以监控进出网络的通信量，仅让安全、核准了的信息进入，同时又抵制对园区网构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的安全策略。一般的防火墙都可以达到如下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户二是防止入侵者接近防御设施三是限定用户访问特殊站点四是为监视Internet安全提供方便。防火墙的特点我们在使用防火墙的同时，对性能、技术指标和用户需求进行分析。包过滤防火墙技术的特点是简单实用，实现成本较低，在应用环境比较简单的情况下，能够以较小的代价在一定程度上保证系统的安全。包过滤技术是一种基于网络层的安全技术，只能根据数据包的来源、目标和端口等网络信息进行判断，无法识别基于应用层的恶意侵入，如恶意的Java小程序以及电子邮件中附带的病毒代理型防火墙的特点是安全性较高，可以针对应用层进行侦测和扫描，对付基于应用层的侵入和病毒都十分有效。当然代理服务器必须针对客户机可能产生的所有应用类型逐一进行设置，大大增加了系统管理的复杂性虽然监测型防火墙安全性上已超越了包过滤型和代理服务器型防火墙，但由于监测型防火墙技术的实现成本较高，也不易管理，所以目前在实用中的防火墙产品仍然以防火墙概述 ：防火墙的作用、特点及优缺点 建立防火墙的安全策略 建立防火墙的安全策略要不要制定安全上的策略规定是一个有争议的问题。有些人认为制定一套安全策略是相当必须的，因为它可以说是一个组织的安全策略轮廓，尤其在网络上以及网络系统管理员对于安全上的顾虑并没有明确的策略时。安全策略也可以称为访问上的控制策略。它包含了访问上的控制以及组织内其他资源使用的种种规定。访问控制包含了哪些资源可以被访问，如读取、删除、下载等行为的规范，以及哪些人拥有这些权力等信息。1) 网络服务访问策略网络服务访问策略是一种高层次的、具体到事件的策略，主要用于定义在网络中允许的或禁止的网络服务，还包括对拨号访问以及PPP(点对点协议)连接的限制。这是因为对一种网络服务的限制可能会促使用户使用其他的方法，所以其他的途径也应受到保护。比如，如果一个防火墙阻止用户使用Telnet服务访问因特网，一些人可能会使用拨号连接来获得这些服务，这样就可能会使网络受到攻击。网络服务访问策略不但应该是一个站点安全策略的延伸，而且对于机构内部资源的保护也起全局的作用。这种策略可能包括许多事情，从文件切碎条例到病毒扫描程序，从远程访问到移动介质的管理。2) 防火墙的设计策略防火墙的设计策略是具体地针对防火墙，负责制定相应的规章制度来实施网络服务访问策略。在制定这种策略之前，必须了解这种防火墙的性能以及缺陷、TCP/IP自身所具有的易攻击性和危险。防火墙一般执行一下两种基本策略中的一种：① 除非明确不允许，否则允许某种服务② 除非明确允许，否则将禁止某项服务。执行防火墙概述 ：防火墙的作用、特点及优缺点 建立防火墙的安全策略 现在业界似乎有一种趋势认为防火墙好像没有什么用了，反正防火墙也挡不住什么攻击。在今年，“灰鸽子”和“熊猫烧香”等安全问题屡见不鲜，所以对于用户来说，尤其是那些资金比较充裕的大型行业用户，更倾向于购买一些比较贵的IDS或IPS解决方案。但事实上，防火墙还是有其用武之地的，防火墙还可以做得更多，或许对于很多用户来说，并没有必要再去花更多的钱购买IPS了。
现在，UTM、内容安全等成为了今天信息安全的新名词，在这样的大背景下，防火墙究竟应该是什么样子的呢？什么才是防火墙的立身之本呢？Secure Computing Corporation中国区总经理蔡勇及中国区技术总监郭伟一同阐释了这样的观点，从防火墙本身的设计来看，是作为安全防御的工具，而并不是现在业界的一些误导，所谓的防火墙是靠速度来取胜的，实际上，防火墙应该是靠安全性来制胜的，这才是防火墙的根本。
的确，防火墙从功能上讲，其本质是一个网络安全设备，而并不是路由器或者交换机，安全性应该是比网络通透性更为重要的参考指标。如果做到最后安全性反而缺失了的话，那“防火墙”就没有完成防火墙应该做的事情了，那么防火墙就真的变成了路由器。
当然出现这样的情况，在这其中涉及到了一个产业层面的问题，就是将来究竟是由传统的安全公司，还是由像思科这样的网络设备巨头来主导安全市场。在这里我们并不想讨论这个话题，还是想更多地关注防火墙产品本身。
除了安全性之外，对于防火墙来说，还有一点很重要，那就是应用层代理的高性能。要知道，在目前的互联网环境中，来自于应用层的攻击才是给企业、组织和个人的网络带来不安全因素的主要威胁，就算是网络层和传输层都没有问题，也并不能说明这个防火墙的性能就很好、就很安全。而也正是由于应用层的攻击在整个互联网上日益占据了主导地位，所以说应用层代理的性能才变得更为重要。
另外就是防火墙的主动防御性，Secure Computing Corporation推出的Sidewinder 70就是一款提供了主动式防护的防火墙，其集成了TrustedSource信誉技术。借助实时的评分系统可以切断与具有恶意信息的区域的连接，从而实现对垃圾邮件和钓鱼式攻击等安全威胁的防范，并且有效地释放了带宽空间和减轻了下游服务器的处理负担。
其实对于选择防火墙，或者说是对于信息安全的防御，并不应该是“拆东墙补西墙”，就拿前段时间出现的“灰鸽子”和“熊猫烧香”等病毒来说，出现了很多专杀产品，从商业的角度或者从技术的层面来看，就很有投机之嫌，当时是给堵上了，那明天再有别的什么“白鸽子”或者“猴子拜佛”之类的话，那又要怎么办呢？
所以，从另一个层面来讲的话，这也说明中国的用户对于安全问题并没有一个长远的规划。其实无论是选择防火墙或者是其他的安全产品，一个长远的布局是至关重要的。

---