電子商務(wù)之什么是防火墻

1、什么是防火墻張婷婷定義防火墻（Firewall）,也稱防護墻，是由 Check Point創(chuàng)立者 Gil Shwed于1993年發(fā)明并引入國際互聯(lián)網(wǎng)（US5606668 （A） 1993-12-15）。它是一種位于內(nèi)部網(wǎng)絡(luò)與外部網(wǎng)絡(luò)之間的網(wǎng)絡(luò)安 全系統(tǒng)。一項信息安全的防護系統(tǒng)，依照特定的規(guī)則，允許或是 限制傳輸?shù)臄?shù)據(jù)通過。二、詳細解釋所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障 是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件 的結(jié)合，使Internet與Intranet之間建立起一個安全網(wǎng)關(guān) （

2、Security Gateway）,從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要 由服務(wù)訪問規(guī)則、驗證工具、包過濾和應(yīng)用網(wǎng)關(guān)4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡(luò)之間的軟件或硬 件。該計算機流入流出的所有網(wǎng)絡(luò)通信和數(shù)據(jù)包均要經(jīng)過此防火 墻。在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)（如 Internet）分開的方法，它實際上是一種隔離技術(shù)。防火墻是在 兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之 門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Int

3、ernet, Internet上的人也無法和公司內(nèi)部的人進行通信o三、ICF工作原理ICF被視為狀態(tài)防火墻，狀態(tài)防火墻可監(jiān)視通過其路徑的所有通訊，并且檢查所處理的每個消息的源和目標(biāo)地址。為了防止來自連接公用端的未經(jīng)請求的通信進入專用端，ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中，ICF將跟蹤源自 該計算機的通信。與ICS一起使用時，ICF將跟蹤所有源自ICF/ICS 計算機的通信和所有源自專用網(wǎng)絡(luò)計算機的通信。所有Internet傳入通信都會針對于該表中的各項進行比較。只有當(dāng)表中有匹配項時（這說明通訊交換是從計算機或?qū)Ｓ镁W(wǎng)絡(luò)內(nèi)部開始的），才 允許將傳入Internet通信傳送給

4、網(wǎng)絡(luò)中的計算機。源自外部源ICF計算機的通訊（如Internet）將被防火墻阻 止，除非在“服務(wù)”選項卡上設(shè)置允許該通訊通過。ICF不會向你發(fā)送活動通知，而是靜態(tài)地阻止未經(jīng)請求的通訊， 防止像端口 掃描這樣的常見黑客襲擊。四、防火墻的種類防火墻從誕生開始，已經(jīng)歷了四個發(fā)展階段： 基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。 常見的防火墻屬于具有安全操 作系統(tǒng)的防火墻，例如 NETEYE NETSCREENTALENTI得。從結(jié)構(gòu)上來分，防火墻有兩種：即代理主機結(jié)構(gòu)和路由器+過濾器結(jié)構(gòu)，后一種結(jié)構(gòu)如下所示：內(nèi)部網(wǎng)絡(luò)過濾器（ Filter）路由

5、器 （Router） Internet從原理上來分，防火墻則可以分成4種類型：特殊設(shè)計的硬 件防火墻、數(shù)據(jù)包過濾型、電路層網(wǎng)關(guān)和應(yīng)用級網(wǎng)關(guān)。安全性能 高的防火墻系統(tǒng)都是組合運用多種類型防火墻，構(gòu)筑多道防火墻“防御工事”。五、基本特性編輯（一）內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防 火墻這是防火墻所處網(wǎng)絡(luò)位置特性， 同時也是一個前提。因為只 有當(dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、 有效地保護企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)不受侵害。根據(jù)美國國家安全局制定的信息保障技術(shù)框架，防火墻 適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護設(shè) 備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個網(wǎng)絡(luò)連

6、接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連 接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。 防火墻的目的就是在 網(wǎng)絡(luò)連接之間建立一個安全控制點，通過允許、拒絕或重新定向 經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審 計和控制。典型的防火墻體系網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。從圖中可以看出， 防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。（二）只有符合安全策略的數(shù)據(jù)流才能通過防火墻防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻

7、是一臺“雙穴主機”， 即具備兩個網(wǎng)絡(luò)接口，同時擁有兩個網(wǎng)絡(luò)層地址。 防火墻將網(wǎng)絡(luò) 上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火 墻是一個類似于橋接或路由器的、多端口的（網(wǎng)絡(luò)接口=2）轉(zhuǎn)發(fā)設(shè)備，它跨接于多個分離的物理網(wǎng)段之間， 并在報文轉(zhuǎn)發(fā)過程 之中完成對報文的審查工作。（三）防火墻自身應(yīng)具有非常強的抗攻擊免疫力這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護重任的先 決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個邊界衛(wèi)士一樣，每

8、時 每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領(lǐng)。它之所以具有這么強的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應(yīng)用程序在防火墻上運 行。當(dāng)然這些安全性也只能說是相對的。目前國內(nèi)的防火墻幾乎被國外的品牌占據(jù)了一半的市場，國外品牌的優(yōu)勢主要是在技術(shù)和知名度上比國內(nèi)產(chǎn)品高。 而國內(nèi)防 火墻廠商對國內(nèi)用戶了解更加透徹， 價格上也更具有優(yōu)勢。防火 墻產(chǎn)品中，國外主流廠商為思科 （Cisco）、Checkpoint、NetScreen 等，國內(nèi)主流廠商為東

9、軟、天融信、山石網(wǎng)科、網(wǎng)御神州、聯(lián)想、 方正等，它們都提供不同級別的防火墻產(chǎn)品。（四）應(yīng)用層防火墻具備更細致的防護能力自從Gartner提出下一代防火墻概念以來，信息安全行業(yè)越 來越認識到應(yīng)用層攻擊成為當(dāng)下取代傳統(tǒng)攻擊，最大程度危害用戶的信息安全，而傳統(tǒng)防火墻由于不具備區(qū)分端口和應(yīng)用的能 力，以至于傳統(tǒng)防火墻僅僅只能防御傳統(tǒng)的攻擊，基于應(yīng)用層的攻擊則毫無辦法。從2011年開始，國內(nèi)廠家通過多年的技術(shù)積累，開始推出 下一代防火墻，在國內(nèi)從第一家推出真正意義的下一代防火墻的 網(wǎng)康科技開始，至今包擴東軟，天融信等在內(nèi)的傳統(tǒng)防火墻廠商 也開始相互3效仿，陸續(xù)推出了下一代防火墻， 下一代防火墻 具備應(yīng)用層分析的能力，能夠基于不同的應(yīng)用特征， 實現(xiàn)應(yīng)用層 的攻擊過濾，在具備傳統(tǒng)防火墻、IPS防毒等功能的同時，還 能夠?qū)τ脩艉蛢?nèi)容進行識別管理， 兼具了應(yīng)用層的高性能和智能 聯(lián)動兩大特性，能夠更好的針對應(yīng)用層攻擊進行防護。（五）數(shù)據(jù)庫防火墻針對數(shù)據(jù)庫惡意攻擊的阻斷能力虛擬補丁技術(shù)：針對CVE公布