拒敌千里的防火墙

　　什么是防火墙？“建造起来用于防止火势蔓延的墙壁”。注意，这并不是说把所有东西都从火中抢救出来。真正的防火墙只是能延缓火势在建筑物中的蔓延。网络中的防火墙更象一座装有水力发电厂的大坝。大坝上十分严格地预留了一定数量的开口和溢流口，可以使一定数量的水流通过规定通道。原来我们希望建造网络防火墙的真正目的就是这个。可能你的用户在准备通过网络时也会这么说。我们还可以把网络防火墙比喻成国际机场的护照检查和海关。在你得到允许进出一个国家前，必须通过一系列的检查点。在网络防火墙中，每个包在得到许可继续传输前也必须通过某些检查点。

　　防火墙如何运作？防火墙要检验每一个包，确定是否可以进出，如果防火墙拒绝其通过，对不起，这个包将被摔到一边。

　　用更专业一点的话来讲，防火墙（Fire Wall）就是一个或一组网络设备（计算机系统或路由器等），用来在两个或多个网络间加强访问控制，其目的是保护一个网络不受来自另一个网络的攻击。可以这样理解，相当于在网络周围挖了一条护城河，在唯一的桥上设立了安全哨所，进出的行人都要接受安全检查。

　　防火墙的组成可以这样表示：防火墙=过滤器+安全策略（+网关）。 

一、防火墙的实现方式 

　　在边界路由器上实现； 

　　在一台双端口主机（dual-homed host）上实现； 

　　在公共子网（该子网的作用相当于一台双端口主机）上实现，在此子网上可建立含有停火区结构的防火墙。

二、防火墙的网络结构

　　网络的拓扑结构和防火墙的合理配置与防火墙系统的性能密切相关，防火墙一般采用如下几种结构。

　　最简单的防火墙结构

　　这种网络结构能够达到使受保护的网络只能看到“桥头堡主机”（ 进出通信必经之主机），同时，桥头堡主机不转发任何TCP/IP通信包，网络中的所有服务都必须有桥头堡主机的相应代理服务程序来支持。但它把整个网络的安全性能全部托付于其中的单个安全单元，而单个网络安全单元又是攻击者首选的攻击对象，防火墙一旦破坏，桥头堡主机就变成了一台没有寻径功能的路由器，系统的安全性不可靠。

　　单网端防火墙结构

　　其中屏蔽路由器的作用在于保护堡垒主机（应用网关或代理服务）的安全而建立起一道屏障。在这种结构中可将堡垒主机看作是信息服务器，它是内部网络对外发布信息的数据中心，但这种网络拓扑结构仍把网络的安全性大部分托付给屏蔽路由器。系统的安全性仍不十分可靠。

　　增强型单网段防火墙的结构

　　为增强网段防火墙安全性，在内部网与子网之间增设一台屏蔽路由器，这样整个子网与内外部网络的联系就各受控于一个工作在网络级的路由器，内部网络与外部网络仍不能直接联系，只能通过相应的路由器与堡垒主机通信。

　　含“停火区”的防火墙结构

　　针对某些安全性特殊需要，可建立如下的防火墙网络结构。网络的整个安全特性分担到多个安全单元，在外停火区的子网上可联接公共信息服务器，作为内外网络进行信息交换的场所。

［上一页］ ［下一页］