一、防火墙的定义和描述

　　“防火墙”这个术语是参考了建筑结构里的安全技术。在楼宇里用来起分隔作用的墙，用来隔离不同的公司或房间，尽可能的起防火作用。而这里所说的“防火墙”当然不是指物理上的防火墙，而是指隔离在本地网络与外界网络之间的一道防御系统，所以防火墙是这一类防范措施的总称。应该说，在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量，从而完成看似不可能的任务；仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据。由失误和缺陷导致的安全性问题越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。
　　最初，一个防火墙是由一个单独的机器组成的即Firewall box，放置在你的私有网络和公网之间。这一类型的防火墙主要用于小型的商业网络及家庭里面。近些年来，防火墙机制己发展到不仅仅是"firlwall box"，一些中大模型的公司用防火墙来防范整个公司的网络。它现在涉及到整个从内部网络到外部网络的区域，由一系列复杂的机器和程序组成。还出现了DMZ区域的概念,DMZ区是指在内部安全网络和外部公开网络之间的这一块区域,企业的服务器一般被放置在这块区域中,既能使外部网络访问到服务器又使防火墙监控和保护这个区域的服务器。
　　现在如果要准备实施一个防火墙工具的话，需要知道你的公司需要什么样的服务并且什么样的服务对于内部用户和外部用户都是有效的。 从而确定防火墙应该具备什么的样的功能。

二、防火墙的功能

　　防火墙是所有安全工具中最重要的一个组成部分。它在内部信任网络和其它任何的非信任网络上提供了不同的规则进行判断和验证，确定是否允许这一类型的信息流通过.一个防火墙策略要符合四个目标，而每个目标通常都不是通过一个单独的设备或软件来实现的，有可能需要用到别的设备或是软件。大多数情况下防火墙的组件应和别的安全工具放在一起使用以满足公司安全目的需求。防火墙要能确保满足以下四个目标 。

1．实施一个公司的安全策略
　　防火墙最主要的一个目的就是强制执行公司的安全策略。安全策略在网络安全中的重要性是不言而喻的。比如公司的安全策略需要对HTTP流量作一些限制和过滤，那么就可以直接在防火墙强制执行这些策略。

2．创建一个阻塞点
　　防火墙可以在一个公司私有网络（即内网）和外部网络（即外网）间建立一个检查点。这种策略要求所有的流量都要通过这个检查点的检查才能够通过。如果在这个检查点上清楚地建立防火墙规则，那么就可以利用防火墙来监视、过滤、检查所有进来和出去的流量。网络安全产业称这些检查点为阻塞点。所有进出流量都通过这些检查点来强制执行，网络管理员可以集中在较少的地方来实现安全目的。如果没有这样一个供监视和控制信息的点，系统或安全管理员则要在大量的地方来进行监测。

3．记录Internet活动
　　防火墙还能够强制日志记录，并且提供警报功能。通过在防火墙上实现日志服务，安全管理员可以查看和监视所有从外部网或互联网来的访问，当然也可以查看内网中的用户访问记录。好的日志策略是实现网络安全的有效工具之一。防火墙对于管理员进行日志存档提供了更多的信息。
　　防火墙同时还能够准确的描述互联网服务提供商（ISP）和企业各部门及顾客、用户对网络的访问和使用情况。并且这些访问流量都会被记录下来，便于日后分析。

4．限制网络暴露
　　防火墙在公司的网络周围创建了一个保护的边界。并且对于外网隐藏了公司内部系统的—些信息以增加保密性。当远程节点侦测公司的网络时，他们仅仅能看到防火墙。远程设备将不会知道公司内部网络的布局以及内网中有哪些计算机。

三、防火的分类
1．包过滤
　　包过滤是处理网络上基于packet-by-packet流量的设备。它工作OSI参考模型的网络层,包过滤设备能够允许或阻止IP地址及端口，典型的实施方法是通过标准的路由器(如Cisco 2501路由器)。包过滤将会检查以下一些信息:
　 源IP地址
　 目标IP地址
　 源端口
　 目标端口
　 数据包类型(如ICMP,IGMP,EGP等)

2．代理服务器
　　代理就是指一个人代替某人去完成一些事情。举一个简单的例子就是你不能出席某一个会议你就委托某人代替你去参加会议,在会议中他代替你发言,并将会议内容和信息告诉给你.在计算机网络中主要有两种类型的代理:
　 应用级代理服务器(也叫应用级网关)
　 电路级代理服务器(也叫电路级网关)

应用级网关
　　现目前大多数的流行代理服务器都是应用级的代理服务器。应用级网关能够理解应用层上的某一种特定协议,包括HTTP,FTP,SMTP,DNS等等。它与包过滤有很大的不同,它不关心数据包的地址,在所有的应用程序中只检查某一个特定的应用程序数据。应用级的代理服务器接受到内部客户的请求后,如果客户端被验证是授权的就会把客户端的请求发送给外面的服务器,然后再将外部服务器发送来的信息返回给内部的客户端。通常情况下应用级网关是在特殊的服务器上安装软件来实现的，能够做复杂一些的访问控制，并做精细的限制。

电路级网关
　　电路级网关又称线路级网关，它工作在会话层。它在两个主机首次建立TCP连接时创立一个电子屏障。它作为服务器接收外来请求并转发请求；与被保护的主机连接时则担当客户机角色、起代理服务的作用。通常电路级网关由两个主机组成,在第一个防火墙主机和第二个防火墙主机之间形成一个加密的链接,进行安全的数据传输。这样做的好处就是提供了一个容错功能防止单个主机传输失败,并且还能够实现负载平衡。它监视两主机建立连接时的握手信息，如Syn、Ack和序列数据等是否合乎逻辑，判定该会话请求是否合法。一旦会话连接有效后网关仅复制、传递数据，而不进行过滤。电路网关中特殊的客户程序只在初次连接时进行安全协商控制，其后就透明了。只有懂得如何与该电路网关通信的客户机才能到达防火墙另一边的服务器。 在不同方向上拒绝发送放置和取得命令，就可限制FTP服务的使用。如不允许放置命令输入，外部用户就不能写到FTP服务器破坏其内容；如不允许放置命令输出，则不可能将信息存储在网点外部的FTP服务器了。 电路级网关的防火墙的安全性比较高，但它仍不能检查应用层的数据包以消除应用层攻击的威胁。
　　同时，电路级网关还提供一个非常重要的安全功能：网络地址转发(NAT)将所有公司内部的IP地址映射到一个或是多个外部IP地址，这个地址是由防火墙使用的地址。有两种方法来实现这种类型的网关，一种是由一台主机充当筛选路由器而另一台充当应用级防火墙。另一种是在第一个防火墙主机和第二个之间建立安全的连接。这种结构的好处是当—次攻击行为发生时能提供容错功能。

四、防火墙的术语
1．筛选路由器
　　筛选路由器的另一个术语就是包过滤路由器并且至少有一个接口是连向公网的，如Internet,它可以防止内网暴露在公网上。它还有另一个名字叫做外部路由器,因为它总有一个接口连接到外部网络,而不是内部网络。 筛选路由器也不同于堡垒主机,因为它不使用附加的服务来精确的筛选数据包。筛选路由器是一个基本包过滤规则配置的一个实例。

2．阻塞路由器
　　在一个防火墙体系结构里面如果有两个路由器,这个内部路由器(这个路由器通过连接内部网的接口阻止数据包到达内网)通常叫做阻塞路由器也叫内部路由器,它保护着内部的网络使之免受Internet及周边网的侵犯。
阻塞路由器定义了一个允许从外部网络到内部网络的访问点。同时也定义了内部网络访问外部网络的访问点。安全管理员能够通过这个阻塞点来限制外部网络访问内部网络,也可以通过使用防火墙策略来创建这个阻塞点,因为所有的数据流量都要经过这个防火墙。

3．非军事化区域(DMZ)
　　DMZ是英文“demilitarized zone”的缩写，中文名称为“隔离区”，也称“非军事化区”。它是位于筛选路由器和阻塞路由器之间的一块区域，主要是为了解决安装防火墙后外部网络不能访问内部网络服务器的问题而设立的一个非安全系统与安全系统之间的缓冲区，这个缓冲区位于企业内部网络和外部网络之间的小网络区域内，许多管理员在这个小网络区域内可以放置一些必须公开的服务器设施，如企业Web服务器、FTP服务器和论坛等。另一方面，通过这样一个DMZ区域，更加有效地保护了内部网络。

4．堡垒主机
　　堡垒主机是一种的计算机，被暴露在因特网上。从堡垒主机的定义中可以看到，堡垒主机是网络中最容易受到侵害的主机，所以堡垒主机也必须是自身保护最完善的主机。
　　堡垒主机是一种被强化的可以防御进攻但可公开访问的计算机。堡垒主机位于外围网络（也称为 DMZ、网络隔离区域和屏蔽子网）中面向公众的一端。堡垒主机不受防火墙或过滤路由器的保护，因此它们完全暴露在攻击中。由于堡垒暴露在外的缺陷，因此可以把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全目的。所以在设计和配置堡垒主机时必须付出巨大的努力，最大程度地减少损坏的机率。可以使用单宿主堡垒主机。多数情况下，一个堡垒主机使用两块网卡，每个网卡连接不同的网络。一块网卡连接公司的内部网络用来管理、控制和保护，而另一块连接另一个网络，通常是公网也就是Internet。
　　堡垒主机通常用作 Web 服务器、域名系统 (DNS) 服务器、文件传输协议 (FTP) 服务器、简单邮件传输协议 (SMTP) 服务器和网络新闻传输协议 (NNTP) 服务器。理想情况下，堡垒主机应该只执行这些服务中的某一个功能，因为它扮演的角色越多，出现安全漏洞的可能性就越大。而在单个堡垒主机上保护单个服务则相对容易。
　　安全堡垒主机的配置与通常的主机相比明显不同。所有不必要的服务、协议、程序和网络接口都将被禁用或删除。而且，每台堡垒主机通常被配置成只承担一个特定角色。使用此方式强化堡垒主机，会限制某些可能的攻击方法。

五、防火墙的设计原则
当设计防火墙结构时，要遵循两个主要的观念。第一，保持设计的简单性。第二，要计划好一旦防火墙被渗透应该怎么办。
1．保持设计的简单性
　　一个黑客渗透系统最常见的方法就是利用安装在堡垒主机上不注意的组件。所以在建立你的堡垒主机时尽量不要使用别的应用程序也不要担当其它额外的功能，把无用的功能和组件全部停掉或删除，无论硬件还是软件。一定要注意堡垒主机的建立只需提供防火墙功能。在防火墙主机上不要安装像Web服务的应用程序服务。要删除堡垒主机上所有不必需的服务或守护进程。在堡垒主机上运行少量的服务就会给潜在的黑客很少的机会穿过防火墙。
　　在进行防火墙设计的时候应将进来和出去的流量进行有效的分类，将流量限制在较少的点上，这样能够帮助我们对网络流量进行分析，同时也可以对网络采取集中的保护措施。实现用最少的访问规则对网络进行最大的保护。这样做另一个好处就是检查点先于站点管理，从而使你更准确的知道什么时候数据进入了系统，什么时候又离开了系统。大多数的扩展监视工具都应安装在这个检查点的位置。

2．安排事故计划
　　当设计防火墙时安全管理员要对防火墙主机崩溃或危急的情况做出计划。不管防火墙被设计得多么安全都得假设防火墙有可能被攻破，那么被攻破以后应该采用什么样的措施呢？如果仅仅是用一个防火墙设备把内部网络和公网隔离开，那么黑客渗透进防火墙后就会对内部的网络有着完全访问的权限。为了防止这种渗透，需要设计几种不同级别的防火墙设备，不要依赖一个单独的防火墙保护整个的网络。另外还可以采取以下一些特殊的步骤，包括：
　 创建同样的软件备份
　 配置同样的系统并存储到安全的地方
　 确保所有的系统都可以及时的恢复。
　 其它网络安全工具的策略更改

六、创建防火墙时可以采用的模型
　　现在已经对如何安全地建立防火墙有了很好的认识，下面将学习如何实施一个防火墙策略。设计一个安全的防火墙策略第一步就是保证防火墙自身的物理安全性。如果不把防火墙和产品服务器放到一个安全的位置，任何设备都可能会遭到破坏。比如整个网络的瘫痪有可能是因为一个清洁工在半夜为了省电而关掉了服务器。更为严重的是多数设备允许在物理程序下进行管理或root级访问，举个例子，可以从一张特殊的软盘来引导服务器，或通过一个标准串口连接路由器，并且可以消除服务器和路由器的密码，得到完全的操作权限。这些威胁本来是用于一些故障的恢复而使用的，如果被入侵者利用就会造成难以预料的后果，这就是需要把设备放到一个安全的物理位置。
　　四种常见的防火墙设计都提供一个确定的安全级别，也就是说在防火墙的设计和实施过程中主要有四个模型可供我们选择，一个简单的规则是越敏感的数据就更要采取越广泛的防火墙策略，这四种防火墙的实施都是建立一个过滤的距阵，并且能够执行和保护信息的点。这四种选择是：
　 筛选路由器
　 单宿主堡垒主机
　 双宿主堡垒主机
　 屏蔽子网

七、防火墙的选购
　　防火墙是目前主要的网络安全设备，是构筑网络安全的第一道长城，选择一个防火墙产品对企业来说是至关重要的。防火墙能有效地防止外来的入侵，它在网络系统中有效的控制进出网络的信息流向和信息包；提供用户和流量的日志和审计；隐藏内部IP地址及网络结构的细节；提供VPN功能等等。接下来就给大家谈谈怎么选择合适的企业防火墙。
　　首先，企业用户需要弄清防火墙的产品分类。既有基于企业的防火墙、也有个人防火墙，既有软件防火墙又有硬件防火墙，得根据企业的需要进行选择。
　　其次在选购防火墙时，企业需要考虑网络的规模。包括网络中用户的数量，网络的结构等原因在里面。
　　第三防火墙都是通过规则来实现其基本功能的，在选购是时候需要考虑更改规则是否容易，是否需要很专业的知识，每次更改规则是否需要重新启动防火墙等。
　　第四需要考虑防火墙的其它功能，比如是否有NAT功能，是否有VPN功能，是否有日志记录功能等，这些都是非常有用的一些功能。需要和企业的实际需要进行结合还要考虑将来的一些功能。
　　最后还要综合考虑费用，即性价比。
　　当然以上几点只是在选购企业防火墙的时候提供给大家参考的，实际选择的时候要根据实际情况不要仅仅局限于以上几点。需要认真研究、比较，最终选择一个适合的产品。