防火墙作为内部网络与互联网之间的屏障,允许经用户“同意”的人和数据进入内部网络,将用户“不同意”的人和数据拒之门外,Zui大限度地阻止网络中的黑客访问用户网络。
定义:
信息安全中所说的防火墙和建筑防火墙的作用类似,它部署在可信任的内网和不可信的互联网之间,来来往往的网络流量都要接受它的检查,相当于在我们要保护的内网周围筑起了竹篱笆,为我们提供了一道安全的“边界”。
防火墙是如何提供保护的:
网络中的数据包就像一封封信件,网络协议栈负责加装和拆解信封,信封可能会有很多层,网络层、传输层、数据链路层和物理层都要在原始内容外面加上自己的信封。
黑名单:防火墙可以形成一份黑名单,凡在黑名单中的一概拒绝,凡不在黑名单中的都允许通过。这样有利于可用性,但由于黑名单可能是不全面的,对安全性有一定影响。
白名单:防火墙也可以形成一份白名单,凡白名单中的都允许通过,否则拒绝通行。正所谓“一夫当关,万夫莫开”。这样有利于安全性,但如果白名单不全面,会对可用性产生影响。
防火墙的其他功能:
防火墙还可以提供代理服务(Proxy)和网络地址转换(NAT,内网计算机连接外网计算机时,可以使用内网地址)功能。
防火墙的分类:
对于大型网络需要高端硬件防火墙,依靠专用芯片实现对数据包的过滤处理,这样可以保证较大的吞吐量,以及通过防火墙建立很多的并发连接。但硬件防火墙性能强,价格相对较贵,从几万元到几十万元都有。购买和部署防火墙时一定要根据业务需要和预算合理选择,千万不要做任性的土豪,只买贵的,不选对的。
按层面:网络层防火墙、应用层防火墙、数据库防火墙。
按形态:硬件防火墙、软件防火墙。
—— E N D ——
文字来源:《漫画信息安全保密》