防火墙_大学计算机基础(第3版)_[共2页]

178
5.2.6 防火墙
防火墙指的是一个由软件和硬件设备组合而成，在内部网和外部网、专用网与公共网、计算机和它所连接的网络之间构造的保护屏障，如图5-44所示。

防火墙的本质是允许合法而禁止非法数据往来的安全机制，防止非法入侵者侵入网络、盗窃信息或者破坏系统安全。

防火墙是在两个网络通信时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。

图5-44 防火墙
1．防火墙的功能
防火墙的主要功能如下所述。

（1）网络安全的屏障。

防火墙能极大地提高一个内部网络的安全性，通过过滤不安全的服务来降低风险。

（2）强化网络安全策略。

通过以防火墙为中心的安全方案配置，将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。

与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济、更有效。

（3）监控网络存取和访问。

如果所有的访问都经过防火墙，那么防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。

（4）防止内部信息的外泄。

通过利用防火墙对内部网络的划分，可以实现内部网重点网段的隔离，从而限制局部重点或敏感网络安全问题对全局网络造成的影响；还可以隐蔽那些内部网络服务细节，如DNS服务等，避免引起外部攻击者的兴趣。

2．防火墙的缺陷
防火墙并不能解决所有安全问题，它存在以下局限性。

（1）防火墙不能防范全部威胁。

防火墙只能防范已知威胁，不能自动防范最新的威胁。

（2）防火墙一般不能防范内部主动发起的攻击。

防火墙对外部具有严格的访问控制，但是对内部发起的攻击却无能为力。

（3）防火墙只能防范通过它的连接。

例如，在内部网络中，计算机通过拨号网络接入Internet，则防火墙不能防范。

（4）防火墙本身可能出现安全漏洞和受到攻击。

因为防火墙自身的硬件和软件也可能存在漏洞，所以也可能遭受攻击。

（5）防火墙不能防止感染了病毒的软件和文件的传输。

防火墙一般不具备杀毒功能，通常也不能阻止病毒的传播和入侵。

（6）防火墙规则设定复杂，必须由专业的安全人员来管理。

过滤数据的规则是防火墙的核心，规则配置不合理则防火墙的防护效果差、运行效率低，甚至成为网络瓶颈。