1.什么是防火墙
网络防火墙是指隔离本地网络和外界网络的安全防御系统,防火墙已成为网络安全中最重要的防护设施
 
,它是保护网络并连接网络到外部的最有效方法
2.防火墙的主要功能
强化安全策略
记录用户上网活动
隐藏用户站点或网络拓扑
安全策略的检查
3.防火墙的分类
防火墙大致可以分为:包过滤防火墙、代理型防火墙、状态检测防火墙。
包过滤型防火墙:工作在OSI参考模型的网络层,它根据数据包头源地址、目的地址、端口号和协议类型
 
等标志确定是否允许数据包通过 
代理型防火墙:主要工作在OSI的应用层。代理服务在确认客户端连接请求有效后接管连接,代为向服务
 
器发出连接请求,代理型防火墙可以允许或拒绝特定的应用程序或服务,还可以实施数据流监控、过滤、记录和
 
报告功能,代理服务器通常具有高速缓存功能
代理型防火墙的最大缺点是速度较慢
状态检测型防火墙:可以动态地根据实际应用需求,自动生成或删除包过滤规则,这种防火墙不但能根
 
据数据包的源地址、目标地址、协议类型、源端口、目标端口等对数据包进行控制,而且能记录通过防火墙的连
 
接状态,直接对包里的数据进行处理,状态检测防火墙具有一定的智能,能根据实际情况动态生成包过滤规则、
 
能记录进出的连接状态,强调其智能性。
 
4.三种防火墙的对比:
包过滤防火墙:工作在网络层,通过源IP地址、目标IP地址、端口进行过滤,不能根据数据包的具体内
 
容进行过滤。
代理型防火墙:工作在应用层,可以对特定的应用程序和服务进行过滤,具有缓存功能。
状态检测型防火墙:具有一定的智能,可以自动生成防火墙规则和记录连接状态。
 
5.防火墙体系结构
 
堡垒主机:
是防火墙体系中直接与不可信任网络相连接的设备,
 
双宿主堡垒主机:
用一台装有两个网卡的主机做防火墙,是防火墙系统中最常见的部署方法。,多应用于网络结构较简单的网络环
 
境中。多数中小型企业的防火墙拓扑都采用这种形式。
 
三宿主堡垒主机:
多了一个DMZ区,该区通常放置一些供外网访问的服务器,如Web服务器、邮件服务器等。DMZ区的安全等级比内网要低一些。许多中大型网络多采用这种结构。
 
背靠背连接:
需要有两台双网卡的ISA server防火墙计算机,DMZ区就是在ISA之间的子网。
 
6.常见的防火墙简介
NetScreen 系列防火墙
是一种硬件防火墙。它集成了防火墙、×××、***检测和流量管理功能,可以无缝地部署到任何网络,而
 
且管理起来非常容易
 
Cisco ASA 5500系列防火墙
是一种硬件防火墙。它集成了多种安全技术和×××技术,提供了丰富的应用安全、Anti-x防御、网络控制
 
和抑制,以及安全连接等特性,可以最大限度地为企业提供安全防御
 
天融信防火墙
天融信网络卫士防火墙属于国产硬件防火墙,它集成了防火墙、IPSEC ×××、SSL ×××、带宽管理、防病
 
毒、***检测、内容过滤等多种安全功能
 
Check Point防火墙
是世界上应用较广泛的防火墙之一,该产品包含了防火墙、***防御、防间谍软件、网络应用防毒、
 
VoIP安全、Web过滤、URL过滤等技术,是一款安全性极高的防火墙
 
ISA Server 2004/2006
是微软推出的面向企业级应用的高级应用层防火墙,融合了状态检测和代理型防火墙的特点。ISA防火墙 
 
可以为各种类型的网络提供高级保护和快速、安全的Internet访问