防火墻是內部網絡與外部網絡之間、專用網絡和公共網絡之間的一道保護屏障。作為目前使用最為廣泛的網絡安全防護技術,防火墻是解決網絡隔離與連通矛盾的一種較好的方案,在網絡環境下構筑內部網和外部網之間保護層。盡管防火墻是網絡安全產品中最為基礎和基石的部分,但隨著 IT 基礎設施的不斷升級和迭代,防火墻的功能與產品也隨之演化,并繼續作為整個網絡安全的重要組成部分而存在。因此,研究防火墻對于研究網絡安全板塊,具有十分重要的意義,本篇報告將聚焦防火墻,進行深度分析。
防火墻最基礎的功能是隔離和訪問控制。隔離功能是在不同信任級別的網絡之間“砌墻”,訪問控制功能是在墻上開門并派駐“守衛”。防火墻通過隔離來過濾不安全的服務、降低風險、提高內網安全性;訪問控制能將口令、加密、身份認證等安全軟件配置在防火墻上,實現集中安全管理。防火墻從安全管理的角度出發,一般將設備劃分為不受信區域、受信區域、DMZ 區域,例如電子郵件服務器接在DMZ 區域來接受內外部的訪問,實現網絡隔離和訪問控制。
基礎功能之外,防火墻其他功能也快速發展。除了提供基礎組網和防護功能之外,防火墻還可以記錄和監控網絡存取訪問,收集關于系統和網絡使用和誤用的信息并做出日志記錄;實現網絡中網段隔離,防止影響一個網段問題通過整個網絡傳播;并作為部署 NAT(Network Address Translation,網絡地址轉換)邏輯地址來緩解地址空間短缺問題;同時,支持通過 VPN(Virtual Private Network,虛擬專用網絡)將世界各地局域網或專用子網有機聯成一個整體。
