防火墙定义及功能

    10.1.1　防火墙定义及功能

    防火墙就是一个位于计算机和它所连接的网络之间的软件。该计算机流入流出的所有网络通信均要经过此防火墙。广义来说，只要能够分析与过滤进出管理网段的数据包数据，就可以称为防火墙。

    防火墙对流经它的网络通信进行扫描，能够过滤掉攻击，以免在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马等。它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

    从逻辑上来说，防火墙是一个分离器、限制器和分析器，建立防火墙可以达到以下几个目的。

    ·管理进、出网络的访问：防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户进入内部网络，禁止存在安全脆弱性的服务进出网络并抗击来自各种路线的攻击。防火墙能够简化安全管理，因为网络安全性是在防火墙系统上得到实施，而不是分布在内部网络的各台主机上。

    ·保护网络中脆弱的服务：防火墙通过过滤存在安全缺陷的网络服务来降低内部网遭受攻击的威胁，因为只有经过选择的网络服务才能通过防火墙。

    ·检测和警报：在防火墙上可以很方便地监视网络的安全性，并产生报警。网络管理员通过防火墙日志可以审查常规记录并及时响应报警，以便知道防火墙或内部网络是否正受到攻击。

    ·集中安全性：如果一个内部网络的所有或大部分需要改动的安全程序都能集中放在防火墙系统中，而不是分散到每台主机中，这样防火墙的保护范围就相对集中，安全成本也相对降低了。

    ·内部地址隐藏：Internet防火墙是部署NAT（Network Address Translation，网络地址转换）的适合位置，因此防火墙可以用来缓解地址空间短缺的问题，也可以隐藏内部网络的结构。

    ·增强保密性并强化私有权：对一些内部网络节点而言，保密性是很重要的，finger和DNS服务常常会暴露内部节点的信息。使用防火墙系统可以阻塞finger及DNS服务，从而使得外部主机无法获取这些有利于攻击的信息。

    ·审计和记录：Internet使用费用的一个最佳地点，网络管理员可以在此为管理部门提供Internet连接的费用情况，查出潜在的宽带瓶颈位置，并能够依据本机构的核算模式提供部门级的计费。

    防火墙最大的功能就是帮助用户限制某些服务的存取来源。防火墙最主要的功能是：

    ·限制文件传输服务（FTP）只在子网段内的主机之间使用，而不对整个Internet开放。

    ·限制整台Linux主机仅可以接受客户端的WWW要求，其他的服务都关闭。

    ·限制整台主机仅能主动对外联机，对向主机主动联机的数据包状态（TCP数据包的SYN flag）予以阻止等。

    防火墙最主要的任务是规划出切割被信任与不被信任的网段，划分出可提供给Internet的服务与必须受保护的服务，分析出接受以及不可接受的数据包状态。