防火墙应用指导手册

防火墙应用指导手册

防火墙应用指导手册

防火墙是为防止非法访问或保护专用网络而设计的一种系统。防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。本文将从防火墙的简介、种类、选择的方法、配置、管理和维护等几个方面向您做详细的讲解。

防火墙简介

防火墙是为防止非法访问或保护专用网络而设计的一种系统。所有的数据在进入或离开内部网络时都要经过防火墙，防火墙会检查每个数据包，并且阻止那些不符合指定安全标准的数据包。

防火墙简介

防火墙的种类

每一种防火墙都有自己的特点，或许它们的区别可能与你所想的不一致。网络层防火墙和应用层防火墙的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。本文主要讲述网络层防火墙、应用层防火墙、代理防火墙及统一威胁管理。

网络层防火墙

应用层防火墙

代理防火墙

统一威胁管理

如何选择防火墙

为了选择最佳的周边安全解决方案，首先要考虑的就是防火墙的功能。比较好的是，那些在产品间做决定的主流防火墙都起相同的核心作用。每个都会执行状态检测包过滤，及允许实施基本的周边防御。

谁来负责防火墙

防火墙的安全风险有哪些

购买建议

防火墙配置

当为一个企业开发边界保护策略时，最常见的问题是“我应该把防火墙设置在哪里，以发挥其最大效用？我们目前的网络有两套防火墙系统：Fortinet的FortiGate和思科的PIX Firewall。从安全角度讲，采用不同厂商的多个防火墙有什么好处吗？

防火墙安置

两个网络防火墙比一个网络防火墙好吗

防火墙管理与维护

在通过了防火墙的选择和架构设计阶段的挑战后，我们面对的是持续的改变要求和厂商对我们的防火墙可执行操作的补丁之间的平衡。迅速而频繁的改变配置使得日常维护任务变得很难。

防火墙行为审计

防火墙简介

介绍

防火墙是为防止非法访问或保护专用网络而设计的一种系统。防火墙可用于硬件、软件或二者的组合。防火墙常常被用于阻止非法的互联网用户访问接入互联网的专用网络。所有的数据在进入或离开内部网络时都要经过防火墙，防火墙会检查每个数据包，并且阻止那些不符合指定安全标准的数据包。

一般来说，配置防火墙是为了防止外部无权限的交互式登录。这有助于防止“黑客”从机器登录到你的网络。更复杂的防火墙能够阻止从外部到内部的流量，但允许内网用户更自由的与外部交流。

防火墙非常重要因为它可以提供单一的阻止点,在这一点上可以采取安全和审计措施。防火墙提供了一个重要的记录和审计功能；它们经常为管理员提供关于已处理过的流量类型和数值的摘要。这是个非常重要的“点”，因为阻止点在网络中的作用相当于警卫保卫财产。

从理论上说，有两种类型的防火墙：

1.网络层防火墙

2.应用层防火墙

它们的区别可能与你所想的不一致。二者的区别取决于防火墙使用的使流量从一个安全区到另一个安全区所采用的机制。国际标准化组织（ISO）开放系统互联(OSI)模型把网络分成七层，每一层都为上一层服务。更重要的是要认识到转发机制所在的层次越低，防火墙的检查就越少。

网络层防火墙

这种类型决定了它的判定一般是基于源地址、目的地址及独立IP包中的端口。一个简单的路由器就是一个传统意义上的网络层防火墙，因为它不能做出复杂的判断，如数据包的发送目标和来源。现代的网络层防火墙变得更复杂得多，并且会随时关注通过防火墙的连接状态的信息。

另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过，因此在使用时，你需要一个有效分配的IP地址块，或者是专用网络地址块。网络层防火墙的发展很迅速，对于用户来说几乎是透明的。

应用层防火墙

应用层防火墙通常是代理服务器运行的主机，它不允许网络之间直接的流量，并在流

量通过时做详细的记录和检查。由于代理应用程序只是防火墙上运行的软件，所以可在这

做大量的记录和访问控制。应用层防火墙可用于网络地址转换，是因为在应用程序有效地

伪装初始连接的来源之后流量可以从一边进入，另一边出去。

在某些情况下，有一个应用程序的方式可能会影响防火墙的性能，并可能会使防火墙

降低透明度。早期的应用层防火墙对终端用户不是特别透明，并且还可能需要进行一些培训。然而，许多现代应用层防火墙是完全透明的。与网络层防火墙相比，应用层防火墙趋

于提供更细化的审计报告，实行更保守的安全模型。

未来的防火墙将处于网络层防火墙和应用层防火墙之间。网络层防火墙可能会逐渐意

识到经过它们的信息，应用层防火墙可能会变得越来越透明。最终将会是一种在数据通过

时进行记录和检查的快速分组筛选系统。

(来源：TechTarget中国 译者：王菲)

网络层防火墙

这种类型决定了它的判定一般是基于源地址、目的地址及独立IP包中的端口。一个

简单的路由器就是一个传统意义上的网络层防火墙，因为它不能做出复杂的判断，如数据

包的发送目标和来源。现代的网络层防火墙变得更复杂得多，并且会随时关注通过防火墙

的连接状态的信息。

另一个重要的不同于许多网络层防火墙的是它们可使流量直接通过，因此在使

用时，你需要一个有效分配的IP地址块，或者是专用网络地址块。网络层防火墙

的发展很迅速，对于用户来说几乎是透明的。

(来源：TechTarget中国 译者：王菲)

应用层防火墙

应用层防火墙通常是代理服务器运行的主机，它不允许网络之间直接的流量，并在流量通过时做详细的记录和检查。由于代理应用程序只是防火墙上运行的软件，所以可在这做大量的记录和访问控制。应用层防火墙可用于网络地址转换，是因为在应用程序有效地伪装初始连接的来源之后流量可以从一边进入，另一边出去。

在某些情况下，有一个应用程序的方式可能会影响防火墙的性能，并可能会使防火墙降低透明度。早期的应用层防火墙对终端用户不是特别透明，并且还可能需要进行一些培训。然而，许多现代应用层防火墙是完全透明的。与网络层防火墙相比，应用层防火墙趋于提供更细化的审计报告，实行更保守的安全模型。

未来的防火墙将处于网络层防火墙和应用层防火墙之间。网络层防火墙可能会逐渐意识到经过它们的信息，应用层防火墙可能会变得越来越透明。最终将会是一种在数据通过时进行记录和检查的快速分组筛选系统。

(来源：TechTarget中国 译者：王菲)