防火墙的基本原理

    计算机网络系统中将防火区内与INTERNET网络直接相联的计算机系统称为“防火墙”，它能同时连内部网络和INTERNET网络两端。如果要从内部网络接到INTERNET网络，就得用telnet等先联到防火墙，然后从防火墙联上INTERNET网络。防火墙的主要作用就是阻止外界直接进 入内部网络。目前防火墙通常有二种类型，即过滤型和代理型。
    过滤型的防火墙是不让INTERNET网络某些地址的网站进入你的网络，实现只有经过过滤防火墙筛选才能访问内部网络的功能。这样除开放一些网络功能外这种IP过滤防火墙阻挡一切联网功能。另外一种是代理服务器的情况，用户可登录到防火墙，然后进入内部网络内的任何系统，也就是由防火墙进行网络联结。

IP过滤防火墙 

    在互联网这样的信息包交换网络上，所有往来的信息都被分割成一定长度的信息包，包中包括发送者的IP地址和接收者的IP地址。包过滤式的防火墙会检查所有通过信息包里的IP地址，并按照系统管理员所给定的过滤规则过滤信息包。如果防火墙设定某一IP为危险的话，从这个地址而来的所有信息都会被防火墙屏蔽掉。这种防火墙的用法很多，比如国家有关部门可以通过包过滤防火墙来禁止国内用户去访问那些“有问题”的国外站点。
    过滤防火墙是绝对性的过滤系统，它阻挡别人进入内部网络，但也不告诉你何人进入你的公共系统，或何人从内部进入INTERNET网络。一般这种防火墙的特点非常安全，也不需要用户名和密码来登录。这种防火墙速度快而且易于维护，通常作为第一道防线。包过滤路由器的弊端也是很明显的，通常它没有用户的使用记录，这就不能从访问记录中发现黑客的攻击记录，而攻击一个单纯的包过滤式的防火墙对黑客来说是比较容易的，他们在这一方面已积累了大量经验。“信息包冲击”是黑客比较常用的一种攻击手段，黑客们对包过滤式防火墙发出一系列信息包，不过这些包中的IP地址已经被替换掉了，取而代之的是一串顺序的IP地址。一旦有一个包通过了防火墙，黑客便可用这IP地址来伪装发出的信息。

代理服务器 

   如果说包过滤只是根据地址进行选择而对IP包要么原封不动进行转发要么被限制的话，那么代理服务器完全是对包进行拆封并经过功能分析后重新封装。最好的例子是在内部网站执行telnet的过程。内部网站先将IP请求包传输给代理服务器，然后由服务器剖析后重新产生请求发向目的站点。如果不经过代理服务器，内部网络的请求根本到不了目的网站，因为这些IP包在代理服务器上是不会自动转发的。反向的情况也一样。这样利用客户端软件连接代理服务器后，代理服务器启动它的客户端代理软件，然后传回数据。由于代理服务器重复所有通讯，因此能够记录所有进行的工作。只要配置正确，代理服务器就绝对安全，这是它最可取之处。它阻挡任何人进入，因为没有直接的IP通路，所有IP都需要进行转换发送。
    可见只要通过设置防火墙，就可允许单位内部员工使用EMAIL，浏览WWW及文件传输，但不允许外界任意访问公司内部的计算机，你也可以禁止内部不同部门之间互相访问。

防火墙服务器如何设置

    一级防火墙是整个内部网络对外的枢纽，是一定需要设立的。它一边联接单位内部网络，一边通往防火区网络。防火区网络上可摆上单位对外提供服务的主机，例如：WEB Server、EMAIL Server、POP3Server及FTP server等，提供对外的服务。有些人会认为这些服务主机，既然是要给外人使用的，为什么不直接摆在防火墙外，而要摆在防火墙内接受防火墙的控管呢?其实这个道理很简单：首先，摆在防火墙内，你可以对任何存取你的服务器的访客留下记录，以供日后的追查或统计分析。其次，可增加其安全性，避免黑客对你的服务器的攻击。防火墙的设定，可保证你的服务器主机只提供它应提供的服务，而阻挡所有不当的存取与连线，避免黑客在你的服务主机上开后门。这就是要开一个防火区网络来放置 所有对外的服务主机的道理。
    单位可根据实际的需要，将某些较重要而有安全顾虑的部门网络，加上防火墙的配置(见图1)，此即所谓的单位内防火墙(Intranet Firewall)。单位内防火墙的功能与主防火墙类似，但因为其数量可能很多，会分配到各部门的网络内，因此其管理规则的设定、系统的维护，不应太过困难。　　单位希望建置一个安全的网络环境，除了采用防火墙之外，当然还必须妥善的规划其架构，拟定其安全政策，最重要的是必须彻底执行其安全政策，而防火墙是落实这些安全政策的必要且重要的工具之一。INTERNET网络商用化的趋势愈来愈明显，单位网络的安全性规划更是刻不容缓，一个好的防火墙的规划必须能充分的配合执行单位所制定的安全政策，再加上安全的建置架构，方能提供单位一个方便而安全的网络环境。

防火墙的选购策略

    (1)选配防火墙前，首先要知道防火墙的最基本性能。

    防火墙一般应具备如下性能：
    ①防火墙除包含先进的鉴别措施，还应采用如包过滤技术、加密技术、可信的信息技术等尽量多的技术。同时需要配备身份识别及验证、信息的保密性保护、信息的完整性校验、系统的访问控制机制、授权管理等。
    ②防火墙过滤语言应该是友好灵活的，同时应具备若干诸如源和目的IP地址、协议类型、源 和目的TCP/UDP端口及入出接口等过滤属性。
    ③防火墙应该忠实地支持自己的安全性策略，并能灵活地容纳新的服务和机构，改变所需的安全策略。防火墙应包含集中化的SMTP访问能力，以简化本地与远程系统的SMTP连接，实现 本地E-mail集中处理。
    ④若防火墙需Unix之类的操作系统，该系统的版本安全本身就是一个需要考虑的重要问题，应该作为防火墙的一部分，当用其他安全工具时，要保证防火墙主机的完整性，而且该系统应能整体安装。防火墙及操作系统应该可更新，并能用简易的方法解决系统故障等。

    (2)选购防火墙前，还应认真制定安全政策，也就是要判定一个周密计划。

    安全政策是规定什么人或什么事允许连接到哪些人或哪些事。也就是说，事先要考虑把防火墙放在网络系统的哪一个位置上，才能满足自己的需求，才能确定欲购的防火墙所能接受的风险水平。

    (3)在满足实用性、安全性的基础上，还要考虑经济性。