防火牆範例

在計算機運算中，防火牆是一塊硬件或軟件，在聯網環境中發揮作用，以避免安全策略中禁止的一些通信，與建築中的防火牆功能相似。它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括因特網(一個沒有信任的區域) 和一個內部網絡(一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的信任區域通過安全政策的執行和連通性模型之間根據最少特權原則。網絡安全分析人員之間區別:一個個人防火牆, 通常軟件應用過濾信息進入或留下一臺電腦; 和: 一個傳統防火牆, 通常跑在一臺專用的網絡設備或計算機被安置在兩個或更多網絡或DMZs (解除軍事管制區域) 界限。 這樣防火牆過濾所有信息進入或留下被連接的網絡。 後者定義對應於"防火牆" 的常規意思在網絡, 和下面會談談這類型防火牆。 以下是兩個主要類別防火牆:網絡層防火牆和 應用層防火牆。 這兩類型防火牆也許重迭; 的確, 單一系統會兩個一起實施。

防火牆的種類

網絡層防火牆

網絡層防火牆運作在(比較低)水平的`TCP/IP協議堆棧作爲IP封包過濾器，不准許封包去通過防火牆除非它們符合規則。防火牆管理員可以規定一些規則，或者缺省固定規則也許實施(在一些不可改變的防火牆系統)。一個寬容的方案可以容許任何封包去通過過濾器只要它不匹配一個或多個「負面規則」或者「否定規則」。今日的網絡防火牆是建立在多數的計算機運作系統或網絡設備。

應用層防火牆

應用層防火牆應用水平研究在TCP/ IP的堆棧(即所有瀏覽器交通, 或所有telnet 或ftp 交通), 並且願攔截所有小包移動到或從應用。 他們阻攔其它小包(通常阻攔他們沒有由發令者承認) 。 原則上, 應用防火牆可能防止所有不需要的外部流量到達被保護的機器。 由檢查所有小包不正當的內容, 防火牆可能甚至防止像計算機病毒的傳播。 但是實踐上, 這成爲因此全面防火牆設計一般不試圖這種方法的複合體和很難試圖(給應用品種和內容變化每個也許允許在它的小包流量) 。 XML 防火牆舉例證明一種最近應用層防火牆。代理設備(運行或在熱忱的硬件或作爲軟件在一個通用機器) 也許作爲防火牆由反應輸入小包(連接請求, 例如) 以應用的方式, 阻攔其它小包。代理由外在網絡使竄改一個內部系統更加困難, 並且一個內部系統誤用不一定會導致一個安全漏洞可開採從防火牆外面(只要應用代理剩下的原封和適當地被配置) 。 相反地, 入侵者也許劫持一個公開可及的系統和使用它作爲代理人爲他們自己的目的; 代理人然後僞裝作爲那個系統對其它內部機器。 當對內部地址空間的用途加強安全, 破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網絡。防火牆經常有網絡地址轉換(NAT) 的功能, 並且主機被保護在防火牆之後共同地使用所謂的「私人地址空間」, 依照被定義在[RFC] 。 管理員經常設定了這樣情節在努力(無定論的有效率) 假裝內部地址或網絡。防火牆的適當的配置要求技巧和機智。 它要求對網絡協議的可觀的理解和對計算機安全。 小差錯可能使防火牆不值得作爲安全工具。