防火牆

區域網路的那些事兒

說起區域網路，防火牆那是必不可少的裝置，無外乎内網和外網防火牆。産品也是多種多樣，根據網絡結構的不同需求，防護的技術也是多種多樣，廢話不說，直接總結。

一.概念

防火牆就是軟體和硬體的組合、在内網和外網之間、專用網與公共網之間的界限上構造的網絡屏障。

用來阻擋外部不安全的因素影響内部網絡屏障。

目的：防止外部網絡使用者未經授權的通路，通過軟體和硬體的組合，進而建立外網與内網的一個安全的網關，進而保護内網免受非法使用者的入侵。

二.防火牆種類

網絡級防火牆（包過濾防火牆）、應用級網關、電路級網關和狀态檢測防火牆等。

1.網絡級防火牆

基于源位址和目的位址、應用、協定以及每個IP包的端口來做出通過與否的判斷。例子：路由器。

一般預設規則：方國強丢棄資料包。

不檢查資料區，不建立連接配接狀态表，前後封包無關，應用層控制弱。

2.應用級網關防火牆

能夠檢查進出的資料包，通過網關複制傳遞資料，防止在收信人伺服器，和客戶機與不信任的主機之間建立聯系。工作在應用層。目前最安全的防火牆技術。

不檢查IP TCP報頭，不建立連接配接狀态表，網絡層保護比較弱。

實作方式：

1)雙宿網關

具有兩個不同網絡接口，一端外網，一端内網。

通過提供代理而不是通過IP轉發來實作。

2）屏蔽主機網關

可以通過程式設計來截取默寫通信進行通路控制。透明代理，使防火牆的服務端口無法探測到。

3）網絡位址轉換技術

NAT隐藏内部網絡資訊，位址映射。

3.電路級網關

監控TCP握手。

重要功能：代理伺服器：代理使用者去取得網絡資訊。

可以把它當成一個大的Cache，顯著提高浏覽器的速度和效率。

工作在會話層

功能：使用教育網内位址段免費代理伺服器，對教育網FTP上傳下載下傳，查詢共享。

     突破中國電信封鎖的IP（和諧，你懂得！）

     具有一個較大的硬碟緩沖區（GB或更大），當有外接資訊通過時，同時也保留在緩沖區中，當其他使用者再來通路資訊時，則直接有緩沖區中取出資訊，傳給使用者，以提高通路速度。（就是燒錢大型門戶網站www.sin???.com 的最愛）

4.狀态檢測防火牆

不檢查資料區，建立連接配接狀态表，前後封包相關，應用層控制弱。