防火墻是什么

防火墻是什么?防火墻是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)分開的方法，它是通過有機(jī)結(jié)合各類用于安全管理與篩選的軟件和硬件設(shè)備，幫助計(jì)算機(jī)網(wǎng)絡(luò)于其內(nèi)、外網(wǎng)之間構(gòu)建一道相對隔絕的保護(hù)屏障，以保護(hù)用戶資料與信息安全性的一種技術(shù)。

防火墻技術(shù)的功能主要在于及時(shí)發(fā)現(xiàn)并處理計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行時(shí)可能存在的安全風(fēng)險(xiǎn)、數(shù)據(jù)傳輸?shù)葐栴}，其中處理措施包括隔離與保護(hù)，同時(shí)可對計(jì)算機(jī)網(wǎng)絡(luò)安全當(dāng)中的各項(xiàng)操作實(shí)施記錄與檢測，以確保計(jì)算機(jī)網(wǎng)絡(luò)運(yùn)行的安全性，保障用戶資料與信息的完整性，為用戶提供更好、更安全的計(jì)算機(jī)網(wǎng)絡(luò)使用體驗(yàn)。

隨著防火墻技術(shù)的進(jìn)步，在過去十年中創(chuàng)造了新的防火墻部署選擇，所以現(xiàn)在對于部署防火墻的最終用戶來說，有了更多選擇，這些選擇包括：

1、有狀態(tài)的防火墻，有狀態(tài)防火墻在更全面的上下文中檢查流量，同時(shí)考慮到網(wǎng)絡(luò)連接的工作狀態(tài)和特性，以提供更全面的防火墻。

2、基于代理的防火墻，這些防火墻充當(dāng)請求數(shù)據(jù)的最終用戶和數(shù)據(jù)源之間的網(wǎng)關(guān)，在傳遞給最終用戶之前，所有的流量都通過這個(gè)代理過濾。

3、Web 應(yīng)用防火墻(WAF)，這些防火墻位于特定應(yīng)用的前面，而不是在更廣闊的網(wǎng)絡(luò)的入口或者出口上，基于代理的防火墻通常被認(rèn)為是保護(hù)終端客戶的，而 WAF 則被認(rèn)為是保護(hù)應(yīng)用服務(wù)器的。

4、防火墻硬件，防火墻硬件通常是一個(gè)簡單的服務(wù)器，它可以充當(dāng)路由器來過濾流量和運(yùn)行防火墻軟件。

5、防火墻軟件，通常，終端用戶部署多個(gè)防火墻硬件端和一個(gè)中央防火墻軟件系統(tǒng)來管理該部署。

防火墻能夠簡化安全管理，網(wǎng)絡(luò)的安全性是在防火墻系統(tǒng)上進(jìn)行加固，而不是分布在內(nèi)部網(wǎng)絡(luò)的所有主機(jī)上。

1、強(qiáng)化內(nèi)部網(wǎng)絡(luò)的安全性，防火墻可以限制非法用戶，比如防止黑客、網(wǎng)絡(luò)破壞者等進(jìn)入內(nèi)部網(wǎng)絡(luò)，禁止存在安全脆弱性的服務(wù)和未授權(quán)的通信進(jìn)出網(wǎng)絡(luò)，并抗擊來自各種路線的攻擊。

2、限定內(nèi)部用戶訪問，特殊站點(diǎn)防火墻通過用戶身份認(rèn)證來確定合法用戶。防火墻通過事先確定的完全檢查策略，來決定內(nèi)部用戶可以使用哪些服務(wù)，可以訪問哪些網(wǎng)站。

3、限制暴露用戶點(diǎn)，防止內(nèi)部攻擊，利用防火墻對內(nèi)部網(wǎng)絡(luò)的劃分，可實(shí)現(xiàn)網(wǎng)絡(luò)中網(wǎng)段的隔離，防止影響一個(gè)網(wǎng)段的問題通過整個(gè)網(wǎng)絡(luò)傳播，從而限制了局部重點(diǎn)或敏感網(wǎng)絡(luò)安全問題對全局網(wǎng)絡(luò)造成的影響，同時(shí)，保護(hù)一個(gè)網(wǎng)段不受來自網(wǎng)絡(luò)內(nèi)部其它網(wǎng)段的攻擊。

4、網(wǎng)絡(luò)地址轉(zhuǎn)換(NAT，Network Address Translation)，防火墻可以作為部署NAT的邏輯地址，因此防火墻可以用來緩解地址空間短缺的問題，并消除機(jī)構(gòu)在變換ISP時(shí)帶來的重新編址的麻煩。

5、虛擬專用網(wǎng)(VPN，Virtual Private Network)、防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系VPN。通過VPN將企事業(yè)單位在地域上分布在全世界各地的LAN或?qū)Ｓ米泳W(wǎng)，有機(jī)地聯(lián)成一個(gè)整體。