防火墙技术

防火墙技术

随着网络安全问题日益严重，网络安全技术和产品也被人们逐渐重视起来，防火墙作为最早出现的网络安全技术和使用量最大的网络安全产品，受到用户和研发机构的亲睐。

1、防火墙的基本概念与作用

防火墙是指设置在不同网络或网络安全域之间的一系列部件的组合，它执行预先制定的访问控制策略，决定了网络外部与网络内部的访问方式。在网络中，防火墙实际是一种隔离技术，它所执行的隔离措施有：

（1）拒绝未经授权的用户访问内部网和存取敏感数据。

（2）允许合法用户不受妨碍地访问网络资源。

而它的核心思想是在不安全的因特网环境中构造一个相对安全的子网环境，其目的是保护一个网络不受另一个网络的攻击，所以防火墙又有以下作用：（1）作为网络安全的屏障。一个防火墙作为阻塞节点和控制节点能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险，只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。

（2）可以强化网络安全策略。通过以防火墙为中心的安全方案配置，能将所有的安全软件配置在防火墙上，体现集中安全管理更经济。

（3）对网络存取和访问进行监控审计。如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并做出日志记录，同时也能提供网络使用情况的统计数据，当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。

（4）防止内部信息的外泄。通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。

（5）支持具有因特网服务性的企业内部网络技术体系VPN。

2、防火墙的工作原理

从防火墙的作用可以看出，防火墙必须具备两个要求：保障内部网安全和保障内部网和外部网的联通。因此在逻辑上防火墙是一个分离器、限制器、分析器。

防火墙根据功能实现在 TCP/IP 网络模型中的层次，其实现原理可以分为三类：在网络层实现防火墙功能为分组过滤技术；在应用层实现防火墙功能为代理服务技术；在网络层，IP层，应用层三层实现防火墙为状态检测技术。

（1）分组过滤技术实际上是基于路由器技术，它通常由分组过滤路由器对IP分组进行分组选择，允许或拒绝特定的IP数据包，工作于IP层。

（2）代理服务技术以一个高层的应用网关作为代理服务器，接受外来的应用连接请求，在代理服务器上进行安全检查后，再与被保护的应用服务器连接，使外部用户可以在受控制的前提下使用内部网络的服务，由于代理服务作用于应用层，它能解释应用层上的协议，能够作复杂和更细粒度的访问控制；同时，由于所有进出服务器的客户请求必须通过代理网关的检查，可以作出精细的注册和审计记录，并且可以与认证、授权等安全手段方便地集成，为客户和服务提供更高层次的安全保护。

（3）状态检测技术此技术工作在IP/TCP/应用层，它结合了分组过滤和代理服务技术的特点，它同分组过滤一样，在应用层上检查数据包的内容，分析高层的协议数据，查看内容是否符合网络安全策略。

高性能和高可靠性，使得应用防火墙可以放心规模部署于数据中心、大型园区网等各种复杂场景；另外，功能丰富并可按需扩展的应用防火墙方案，也简化了网络的安全架构，并大大降低了企业网络总体应用成本。

功能特性Array

1、丰富的业务扩展能力

2、领先的虚拟化能力

3、强大的网络适用性

4、电信级高可靠

性能参数