防火墙是一种将内部网络个外部网络分开的方法,是提供信息安全服务、实现网络和信息系统安全的重要基础设施,主要用于限制被保护的内部网络与外部网络之间进行的信息存取及信息信息传递等操作。防火墙可以作为不同网络或网络安全域之间信息的出入口,能根据安全策略控制出入网络的信息流,且本身具有较强的抗攻击能力。在逻辑上,防火墙是一个分隔器、一个限制器,也是一个分析器,可有效地监控内部网络和外部网络之间的任何活动,保证内部网络的安全。
防火墙是网络安全政策的有机组成部分,它通过控制和检测网络之间的信息交换和访问行为来实现对网络安全的有效管理。从基本要求上看,防火墙还是在两个网络之间执行控制策略的系统(包括硬件和软件),目的是不被非法用户侵入。它遵循的是一种允许或禁止业务来往的网络通信安全机制,也就是提供可控的过滤网络通信,只允许授权的通信。因此,对数据和访问的控制,以及对网络活动的记录,是防火墙发挥作用的根本和关键。无论何种类型的防火墙,从总体上看,都应具有以下五大功能:过滤进、出网络的数据,管理进、出网络的访问行为,封堵某些禁止的业务,记录通过防火墙的信息内容和活动,以及对网络攻击的检测和告警。
防火墙的局限性:
1、网络的安全性通常是以网络服务的开放性和灵活性为代价。
在网络系统中部署防火墙,通常会使网络系统的部分功能被削弱。由于防火墙的隔离作用,在保护内部网络的同时使它与外部网络的信息交流受到阻碍。由于在防火墙上附加各种信息服务的代理软件,增大了网络管理开销,还减慢了信息传输速率,在大量使用分布式应用的情况下,使用防火墙是不切实际的。
2、防火墙只是整个网络安全防护体系的一部分,而且防火墙并非万无一失。
只能防范经过其本身的非法访问和攻击,对绕过防火墙的访问和攻击无能为力。
不能解决来自内部网络的攻击和安全问题。
不能防止受病毒感染的文件的传输。
不能防止策略配置不当或错误配置引起的安全威胁。
不能防止自然或人为的故意破坏。
不能防止本身安全漏洞的威胁。