隨著互聯(lián)網(wǎng)一波又一波的跌宕起伏，網(wǎng)絡(luò)安全一直逐漸成為了人們熱議的話題，同時(shí)網(wǎng)絡(luò)信息安全也一直讓很多人頭疼不已。大到國(guó)家、機(jī)關(guān)單位信息安全，小到企業(yè)、個(gè)人的信息安全，而在本月一日，人們期待已久的網(wǎng)絡(luò)安全法，也讓全中國(guó)7億網(wǎng)民有法可依。
 
       接觸網(wǎng)絡(luò)的人都知道，很多網(wǎng)絡(luò)攻擊都是由于黑客利用網(wǎng)絡(luò)和系統(tǒng)漏洞來(lái)展開(kāi)的。不過(guò)隨著大量的黑客工具和日益泛濫的攻擊文章不斷增多，越來(lái)越多的網(wǎng)絡(luò)安全隱患隨時(shí)準(zhǔn)備暴露我們的信息和隱私。
 
 
       為了能夠有效地保護(hù)我們信息安全，我們采取了許多辦法。 其中，不得不說(shuō)的就是防火墻。
 
 
       防火墻的簡(jiǎn)單介紹
 
       防火墻——在用戶的計(jì)算機(jī)和 Internet 之間建立起一道屏障 ，把用戶和網(wǎng)絡(luò)隔離開(kāi)來(lái)；用戶可以通過(guò)設(shè)定規(guī)則來(lái)決定哪些情況下防火墻應(yīng)該隔斷計(jì)算機(jī)與 Internet 間的數(shù)據(jù)傳輸，哪些情況下允許兩者間的數(shù)據(jù)傳輸。
 
       因此，防火墻是在可信任網(wǎng)絡(luò)和不可信任網(wǎng)絡(luò)之間的一個(gè)緩沖，防火墻可以是一臺(tái)有訪問(wèn)控制策略的路由器，一臺(tái)多個(gè)網(wǎng)絡(luò)接口的計(jì)算機(jī)或服務(wù)器等，被配置成保護(hù)指定網(wǎng)絡(luò)，使其免受來(lái)自于非信任網(wǎng)絡(luò)區(qū)域的某些協(xié)議與服務(wù)的影響。 所以一般情況下防火墻都位于網(wǎng)絡(luò)的邊界，例如保護(hù)企業(yè)網(wǎng)絡(luò)的防火墻，將部署在內(nèi)部網(wǎng)絡(luò)到外部網(wǎng)絡(luò)的核心區(qū)域上。
 
       2 防火墻的主要類型
 
       如今市場(chǎng)上的防火墻形式多樣。 有以軟件形式運(yùn)行在普通計(jì)算機(jī)之上的，也有以固件形式設(shè)計(jì)在路由器之中的。 總的來(lái)說(shuō)可以分為三種：包過(guò)濾防火墻、代理服務(wù)器和狀態(tài)監(jiān)視器。
 
       3 防火墻的特點(diǎn)
 
 
       1)防火墻能夠強(qiáng)化安全策略
 
       因?yàn)榫W(wǎng)絡(luò)上每天都有上百萬(wàn)人在收集信息、交換信息，不可避免地會(huì)出現(xiàn)個(gè)別品德不良，或違反規(guī)則的人，防火墻就是為了防止不良現(xiàn)象發(fā)生的“交通警察”，它執(zhí)行站點(diǎn)的安全策略，僅僅容許“認(rèn)可的”和符合規(guī)則的請(qǐng)求通過(guò)。
 
       2) 防火墻能有效地記錄網(wǎng)絡(luò)上的活動(dòng)
 
       因?yàn)樗羞M(jìn)出信息都必須通過(guò)防火墻，所以防火墻非常適用于收集關(guān)于系統(tǒng)和網(wǎng)絡(luò)使用和誤用的信息。 作為訪問(wèn)的唯一點(diǎn)，防火墻能在被保護(hù)的網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間進(jìn)行記錄。
 

 
       3) 防火墻限制暴露用戶點(diǎn)
 
       防火墻能夠用來(lái)隔開(kāi)網(wǎng)絡(luò)中的兩個(gè)網(wǎng)段，這樣就能夠防止影響一個(gè)網(wǎng)段的信息通過(guò)整個(gè)網(wǎng)絡(luò)進(jìn)行傳播。 4) 防火墻是一個(gè)安全策略的檢查站所有進(jìn)出的信息都必須通過(guò)防火墻，防火墻便成為安全問(wèn)題的檢查點(diǎn)，使可疑的訪問(wèn)被拒絕于門外。
 
       3.2 防火墻的缺點(diǎn)
 
       1) 不能防范惡意的知情者
 
       防火墻可以禁止系統(tǒng)用戶經(jīng)過(guò)網(wǎng)絡(luò)連接發(fā)送專有的信息，但用戶可以將數(shù)據(jù)復(fù)制到磁盤、磁帶上，放在公文包中帶出去。 如果入侵者已經(jīng)在防火墻內(nèi)部，防火墻是無(wú)能為力的。 內(nèi)部用戶偷竊數(shù)據(jù)，破壞硬件和軟件，并且巧妙地修改程序而不接近防火墻。 對(duì)于來(lái)自知情者的威脅只能要求加強(qiáng)內(nèi)部管理，如主機(jī)安全和用戶教育等。
 
       2) 不能防范不通過(guò)它的連接
 
       防火墻能夠有效地防止通過(guò)它進(jìn)行傳輸信息，然而不能防止不通過(guò)它而傳輸?shù)男畔ⅰ?例如，如果站點(diǎn)允許對(duì)防火墻后面的內(nèi)部系統(tǒng)進(jìn)行撥號(hào)訪問(wèn)，那么防火墻絕對(duì)沒(méi)有辦法阻止入侵者進(jìn)行撥號(hào)入侵。
 
       3) 不能防備全部的威脅
 
       防火墻被用來(lái)防備已知的威脅，如果是一個(gè)很好的防火墻設(shè)計(jì)方案，可以防備新的威脅，但沒(méi)有一個(gè)防火墻能自動(dòng)防御所有的新的威脅。
 
       4) 防火墻不能防范病毒防火墻不能消除網(wǎng)絡(luò)上的 PC 機(jī)的病毒。
 
       4 防火墻的應(yīng)用
 
       為什么要使用防火墻？ 很多人都會(huì)有這個(gè)問(wèn)題，也有人提出，如果把每個(gè)單機(jī)的系統(tǒng)配置好，其實(shí)也能經(jīng)受住攻擊。 遺憾的是如今的操作系統(tǒng)存在大量的漏洞與缺陷，并且新的漏洞與利用各種漏洞的蠕蟲變種層出不窮，系統(tǒng)無(wú)法在安全性，可用性和功能上進(jìn)行權(quán)衡和妥協(xié)。 而防火墻只專注做一件事，在已授權(quán)和未授權(quán)通信之間做出決斷。 如果沒(méi)有防火墻，整個(gè)網(wǎng)絡(luò)的安全將倚仗該網(wǎng)絡(luò)中所有系統(tǒng)的安全性的平均值。 但是整個(gè)網(wǎng)絡(luò)的安全性被網(wǎng)絡(luò)中最脆弱的部分所嚴(yán)格制約，即“木桶理論”。 沒(méi)有人可以保證網(wǎng)絡(luò)中每個(gè)節(jié)點(diǎn)每個(gè)服務(wù)都永遠(yuǎn)運(yùn)行在最佳狀態(tài)。 網(wǎng)絡(luò)越龐大，把網(wǎng)絡(luò)中所有主機(jī)維護(hù)至同樣高的安全水平就越復(fù)雜，將會(huì)耗費(fèi)大量的人力和時(shí)間。 整體的安全響應(yīng)速度將不可忍受，最終導(dǎo)致網(wǎng)絡(luò)安全框架的崩潰。 防火墻成為了與不可信任網(wǎng)絡(luò)進(jìn)行聯(lián)絡(luò)的唯一紐帶，我們通過(guò)部署防火墻，就可以通過(guò)關(guān)注防火墻的安全來(lái)保護(hù)其內(nèi)部的網(wǎng)絡(luò)安全。 并且所有的通信流量都通過(guò)防火墻進(jìn)行審記和保存，對(duì)于網(wǎng)絡(luò)安全犯罪的調(diào)查取證提供了依據(jù)。
 
       總之，防火墻減輕了網(wǎng)絡(luò)和系統(tǒng)被用于非法和惡意目的的風(fēng)險(xiǎn)。