防火墙技术与结构

“防火墙”技术是通过对网络作拓扑结构和服务类型上的隔离来加强网络安全的手段。它所保护的对象是网络中有明确闭合边界的一个网块，它的防范对象是来自被保护网块外部的对网络安全的威胁。所谓“防火墙”则是综合采用适当技术在被保护网络周边建立的用于分隔被保护网络与外部网络的系统。可见，“防火墙”技术最适合于在企业专网中使用，特别是在企业专网与公共网络互连时的使用。建立“防火墙”是在对网络的服务功能和拓扑结构仔细分析基础上，在被保护网络周边通过专用软件、硬件及管理措施的综合，对跨越网络边界和信息提供监测、控制甚至修改的手段。

实现“防火墙”所用的主要技术有数据包过滤、应用级网关和代理服务器(proxy server)等，在此基础上合理的网络拓扑结构及有关技术(在位置和配置上)的适度使用也是保证防火墙的有效使用的重要因素。包过滤(packet filter)技术顾名思义即在网络中适当的位置对数据包实施有选择通过，选择判据即为系统内设置的过滤逻辑(通常称为接入控制表access controllist)。通过检查数据流中的每个数据包后，根据包的源地址、目的地址、所用的TCP端口号、TCP链路状态等因素或它们的组合来确定是否允许数据包通过，只有满足过滤逻辑的数据包才被转发至相应的至目的地的输出端口，其余数据包则被从数据流中删除。包过滤技术的实现方式相当简洁，目前网络的路由设备通常均具有一定的数据包过滤能力，因而使路由设备在完成路由选择和数据转发功能之外同时进行包过滤是目前常见的实现方式之一。

此外在工作站上使用软件进行包过滤也不失为一种可行的方案，但相对较为昂贵。若在适当的路由设备上启动包过滤功能(作此用途的路由器称Screening Router)则通常不需要额外增加硬件/软件配置，也不需要对网络拓扑结构作改动。