防火墙基本概念及分类

一个网络连接到internet，其内网可以与外网进行通信，外网也可以与内网进行交互。但是外网可谓鱼龙混杂，充满的许多的不安全因素，那么为了保证内网系统的安全，就需要在内网与外网之间插入一个中介，阻挡来自外网的威胁和攻击。那么这个中介就叫作防火墙。 防火墙是指设置在不同网络或者网络安全域之间的一系列部件的组合，是不同网络之间信息的唯一出入口。从实现的方式来看，防火墙可以分为硬件防火墙和软件防火墙。硬件防火墙是通过硬件与软件的结合来达到隔离内外部网络的目的，而软件防火墙则是通过纯软件的方式来实现。 下面鄙人给出一个丑图解释一般（当然这里面还有很多东西没画） 防火墙之外的网络默认为风险区域，而内部默认为安全区域

防火墙能够隔离风险区域和安全区域，但不会妨碍人们对风险区域的访问。从总体上看，防火墙应该具有以下基本功能：

而一个好的防火墙系统应该具备以下特性：

过滤型防火墙是在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过。在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。

应用代理防火墙主要的工作范围就是在OIS的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙，其他一些防火墙应用效果也较为显著，在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型，这样才可以有效地避免防火墙的外部侵扰等问题的出现。

目前应用较为广泛的防火墙技术当属复合型防火墙技术，综合了包过滤防火墙技术以及应用代理防火墙技术的优点，譬如发过来的安全策略是包过滤策略，那么可以针对报文的报头部分进行访问控制；如果安全策略是代理策略，就可以针对报文的内容数据进行访问控制，因此复合型防火墙技术综合了其组成部分的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。

相关文章： 防火墙关键技术（包过滤、应用代理、网络ip地址转换） 防火墙结构之双重宿主主机结构 防火墙结构之屏蔽主机体系结构 防火墙结构之屏蔽子网体系结构