防火墙（firewall）

1.1.简介

• 防火墙是由软件、硬件构成的系统，是一种特殊编程的路由器，用来在两个网络之间实施接入控制策略。接入控制策略是由使用防火墙的单位自行制订的，为的是可以最适合本单位的需要。
• 防火墙内的网络称为“可信赖的网络”(trusted network)，而将外部的因特网称为“不可信赖的网络”(untrusted network)。
• 防火墙可用来解决内联网和外联网的安全问题。

1.2.防火墙在互连网络中的位置

• 可在防火墙中设置内网中哪些用户可以访问因特网，可以访问因特网中的哪些地址，是否可以访问图片等。

1.3.防火墙的功能

• 防火墙的功能有两个：阻止和允许。
• “阻止”就是阻止某种类型的通信量通过防火墙（从外部网络到内部网络，或反过来）。
• “允许”的功能与“阻止”恰好相反。
• 防火墙必须能够识别通信量的各种类型。不过在大多数情况下防火墙的主要功能是“阻止”。

1.4.防火墙技术一般分为两类

• 网络级防火墙——基于数据包的源地址、目标地址、协议和端口等来控制进出流量，但是不能查看数据包的内容；
• 应用级防火墙——基于数据包的源地址、目标地址、协议和端口等来控制用户名、时间段、内容等方面，能够直接看到数据包中的内容，也可以防止病毒进入内网。功能比网络级防火墙强大许多，属于高级防火墙，能够进行更多的控制。比如微软的ISA和TMG防火墙。

1.5.防火墙网络拓扑结构

• 边缘防火墙：

这是最简单的防火墙架构。

• 三向外围网：

之所以称为"三向外围网"，是因为防火墙引出了三个接口，分别连接内网、服务器和外部网络。外部网络可通过防火墙访问服务器，但不能访问内网，而内网却可以通过防火墙访问外网。

• 背靠背防火墙：

图中的 "外围网络" 指的是服务器，外部网络可通过前端防火墙访问服务器，如果想要访问内网还需要经过本地主机的防火墙的拦截和控制。这样外网用户想要入侵内网需要突破两层防火墙才能到达内网，所以该结构较安全，一般两个防火墙应使用不同厂家的。