[科普中国]-防火墙

防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。对于计算机网络而言，防火墙是一道屏障，可以将内部网络与外网有效隔离开，对非法用户进行阻隔，并将一些不安全的服务全部滤除掉。1

基本定义所谓“防火墙”是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术，隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中，尤其以接入Internet网络为最甚。

防火墙是在两个网络通讯时执行的一种访问控制尺度，能最大限度阻止网络中的黑客访问你的网络。是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它是不同网络或网络安全域之间信息的唯一出入口，能根据企业的安全政策控制（允许、拒绝、监测）出入网络的信息流，且本身具有较强的抗攻击能力。它是提供信息安全服务，实现网络和信息安全的基础设施。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

发展历史第一代第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。

第二代第一代防火墙技术主要在路由器上实现，后来将此安全功能独立出来专门用来实现安全过滤功能。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

第三代代理防火墙出现，原来从路由器上独立出来的安全软件迅速发展，并引发了对承载安全软件本身的操作系统的安全需求。即对防火墙本身的安全问题的安全需求。

第四代1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

第五代1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

相关特点计算机网络安全防火墙技术是应对计算机内外网信息交换过程中可能出现的问题而设计的专门软件, 其在通信过程中主要表现的特点为：2

控制通信在网络信息传输过程中，防火墙需要严格控制信息的交换，营造健康的网络环境，将危险的网络信息阻隔在计算机通信系统之外。而所有进入内网的信息都需要经过防火墙技术的检查，一旦防火墙技术检测出不符合互联网规范的通信信息，就会启动自我防御程序，将该信息删除，从而阻挡不安全的信息进入到计算机通信系统内。

安全防护计算机的广泛应用促进人们生活生产方式的重大变革，也逐渐改变企业的经营方式，电子商务、电子支付等互联网技术的广泛应用，在为人们提供便利的同时，也给一些不法分子提供可趁之机。部分黑客甚至利用计算机网络系统中存在的安全漏洞肆意盗取他人的数据信息，以达到自己的经济目的，而给其他人造成严重的经济损失。而防火墙技术能够充分发挥安全防护作用，在内外网信息交换过程中阻止非法信息进入计算机运算系统之中, 确保计算机网络安全工作有效进行。

相关功能防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等。

防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。

典型信任的区域包括互联网（一个没有信任的区域）和一个内部网络（一个高信任的区域）。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。

网络安全屏障一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

强化安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。

监控审计网络防火墙能记录下访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止信息外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN。通过VPN，将企事业单位在地域上分布在全世界各地的LAN或专用子网，有机地联成一个整体。不仅省去了专用通信线路，而且为信息共享提供了技术保障。

主要类型在网络信息技术不断发展的过程中，基于人们对于网络安全的需求，其对于防火墙的研究也开始不断提升，就目前网络安全技术的构成结构来分析，我们能够发现防火墙技术种类较为丰富，而在这其中最为常见的类型就是以下几种：3

分组过滤型这一类型的防火墙技术我们也可以将其称为包过滤防火墙，这属于最为基础的一种防火墙形式，其最为显著的特征就是快捷实效、简单便捷，这一技术能够在各个不同网络相互连接的设备上对某些特定的TCP\IP端口号进行许可或者是禁止，同时还能对计算机数据包进行相关检查与分析，这样就能对数据包进出内部网络进行有效的控制。

通常情况下，计算机网络使用者大多应用的是这一类型的防火墙技术，因为相比较于其它类型的防火墙技术而言，这一类型的防火墙传输效率较高，而且对于用户也具有较高的开放性。但是在实际应用过程中需要注意，其只能允许内部地址的数据包通过，对于那些来源不明的信息数据包是无法进入的，而对于公共网络，这一防火墙只能允许地址为80端口的数据包通过。

应用代理型这一类型的计算机网络防火墙也是常见的一种，从名称来看, 我们就能了解到其是在某一种特定代理技术支持下而参与到另一个TCP连接的全过程，而这一个防火墙技术运行实施的核心技术就是代理服务器技术，即代表客户处理服务器连接请求的一种程序，能够在外部网络向内部网络申请服务的时候承担着一定的转接效果，可以说是必不可少的一个环节。代理服务器的存在能够获得客户连接需求，之后再对客户的请求进行核实，最后再将处理的请求及时的传输到服务器之上。在这一防火墙技术的作用之下，其能够对所有应用层数据包进行有效的检查，同时也能将所得到的检查信息有效的纳入到决策过程之中，这样就能保障整个计算机网络的安全，所以这一类型的防火墙技术在应用过程中最为显著的价值就是安全与便捷。

复合型这一类型的防火墙技术直接综合了上述两个技术优势，属于一种新型的防火墙，其之所以能够起到较为良好的保护效果，主要还是因为能够在ASIC架构作用下对计算机网络之中的内容以及病毒进行过滤和整合，同时将其统一集中到防火墙之中。这一防火墙技术在使用过程中会使用到多宿主结构，所以计算机网络的保护能力能够得到很大程度的提升，同时还能支持网络端口以及多LAN管理，这样就能很好地实现内部私有网络的安全划分。

配置方式防火墙配置有三种：Dual-homed方式、Screened- host方式和Screened-subnet方式。

Dual-homed方式Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。

Screened- host方式Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。

Screened-subnet方式Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为”停火区”（DMZ，即DemilitarizedZone）,Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。

未来趋势计算机网络安全和防护是一项复杂的系统工程，面对各种安全威胁必须对计算机网络安全问题进行深刻思考和研究。为了做好相关安全防护工作，硬件和软件防护措施必须双管齐下，防止各种潜在的侵入和攻击行为，减少黑客和病毒对计算机网络安全的危害，从而避免各种不必要的损失。4

应用层安全必须具有丰富的应用识别，才能确保安全策略更精细，更可视。动态更新的应用识别技术。随着网络应用的快速增长，基于各种协议的网络应用日趋增加，新一代防火墙必须能够依据协议特点识别各种网络应用和网络动作，并且内置到防火墙内部且应用和动作的识别可以动态更新。
用户识别技术。可以根据用户类型、用户部门、用户权限、IP组等不同分类对网络用户进行分类，使每一类用户有不同的网络权限。同时应该与AD和RADIUS、单点登录、智能卡等结合完善接入用户的认证。

内容级防护全面的内容防护至少要包括漏洞扫描、WEB防护、内容过滤三个内容。漏洞扫描要能发现对操作系统、应用系统、网络协议、用户设备漏洞的防护，对利用漏洞进行的攻击进行阻断。WEB防护功能应包括网站攻击防护、应用隐藏、口令保护和权限控制。内容过滤功能应该能显现对关键字、URL集、病毒、木马、恶意控件/脚本的过滤。

应用层处理如果使用传统的硬件架构方式对报文进行处理，不仅对硬件要求高，同时应用层报文处理会大量占用设备资源，很难突破千兆处理。必须对防火墙进行新架构设计，抛弃了传统防火墙NP、ASIC等适合执行网络层重复计算工作的硬件设计，采用了更加适合应用层灵活计算能力的多核并行处理技术；在系统架构上也要放弃了UTM多引擎，多次解析的架构，需要采用了更为先进的一体化单次解析引擎，将漏洞、病毒、Web攻击、恶意代码/脚本、URL库等众多应用层威胁统一进行检测匹配，能够一次对报文实现从网络层到应用层的解析，达到万兆处理能力。5

本词条内容贡献者为:

马学彬 - 副教授 - 内蒙古大学