网络安全---防火墙

防火墙是什么？防火墙是位于两个信任程度不同的网络之间的设备，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。

在逻辑上，防火墙是分离器、限制器和分析器，它能够有效地监控内部网络和外部网络之间的任何活动，保证内部网络的安全；在物理上，防火墙通常是一组硬件设备，所以，防火墙=硬件+软件+控制策略。防火墙可以分为包过滤防火墙、代理型防火墙和状态检测防火墙。

（1）包过滤防火墙：利用定义的特定规则，即利用访问控制列表ACL过滤数据包。ACL是由permit（允许）或者deny（拒绝）语句组成的一系列有顺序的规则集合，防火墙可以直接获得数据包的源IP地址、 目的IP地址、源TCP/UDP端口、目的TCP/UDP端口和协议号等参数信息，利用以上信息按照访问控制列表ACL规则进行比较分析，过滤通过防火墙的数据包。

具体操作：ACL规则通过匹配报文中的信息对数据包进行分类，路由设备根据这个规则判断哪些数据包可以通过，哪些数据包需要拒绝，包过滤防火墙的特点是简单，但缺乏灵活性，它针对每个数据包都需要进行策略检查，策略过多会导致性能急剧下降。

（2）代理型防火墙：代理型防火墙是把防火墙作为一个业务访问的中间节点，对于客户端来说防火墙是一个服务器端，对服务器端来说防火墙是一个客户端。代理型防火墙安全性高，但开发代价大，对每一种应用开发一个对应的代理服务是很难做到的，因此，代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持，比如常用的HTTP代理等&