2010年計算機等考三級網絡技術講義：第六章

　　防火墻是設置在不同網絡或網絡安全域之間的一系列不見的組合。它可以通過檢測，限制，更改跨越防火墻的數據流，盡可能的對外部屏蔽網絡內部的消息，結構和運行情況，以此來實現網絡的安全保護。

　　防火墻的設計目標是：

　　1 進出內部網的通信量必須通過防火墻。

　　2 只有那些在內部網安全策約中定義了的合法的通信量才能進出防火墻。

　　3 防火墻自身應該防止?jié)B透。

　　防火墻能有效的防止外來的入侵，它在網絡系統中的作用是：

　　1 控制進出網絡的信息流向和信息包。

　　2 提供使用和流量的日志和審記。

　　3 隱藏內部IP以及網絡結構細節(jié)。

　　4 提供虛擬專用網功能。

　　通常有兩種設計策約：允許所有服務除非被明確禁止;禁止所有服務除非被明確允許。

　　防火墻實現站點安全策約的技術：

　　3 服務控制。確定在圍墻外面和里面可以訪問的INTERNET服務類型。

　　4 方向控制。啟動特定的服務請求并允許它通過防火墻，這些操作具有方向性。

　　5 用戶控制。根據請求訪問的用戶來確定是或提供該服務。

　　6 行為控制�？刂迫绾问褂媚撤N特定的服務。

　　影響防火墻系統設計，安裝和使用的網絡策約可以分為兩級：

　　高級的網絡策約定義允許和禁止的服務以及如何使用服務。

　　低級的網絡策約描述了防火墻如何限制和過濾在高級策約中定義的服務。