简介
防火墙(Firewall),也称防护墙,是由Check Point创立者发明的。它是一个信息安全的防护系统,依照特定的规则,允许或是限制传输的数据通过,主要是网络层的安全防护设备。防火墙是一个由软件和硬件设备组合而成,在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障。
下一代防火墙(Next Generation Firewall,简称NG Firewall)是一款可以全面应对应用层威胁的高性能防火墙,提供网络层应用层一体化安全防护。
功能
防火墙的功能主要用于边界安全防护的权限控制和安全域的划分。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
三大部署模式
如果防火墙采用透明模式进行工作,此时防火墙对于子网用户和路由器来说是完全透明的。也就是说,用户完全感觉不到防火墙的存在。
如下图所示,防火墙的Trust 区域接口与公司内部网络相连,Untrust 区域接口与外部网络相连,需要注意的是内部网络和外部网络必须处于同一个子网。
如果防火墙既存在工作在路由模式的接口(接口具有IP 地址),又存在工作在透明模式的接口(接口无IP 地址),则防火墙工作在混合模式下。
如下图所示,主/备 防火墙的Trust 区域接口与公司内部网络相连,Untrust区域接口与外部网络相连,主/备防火墙之间通过HUB 或LAN Switch 实现互相连接,并运行VRRP 协议进行备份。需要注意的是内部网络和外部网络必须处于同一个子网。
当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址,重新规划原有的网络拓扑,此时相当于一台路由器。采用路由模式时,可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。
如下图所示,防火墙的Trust区域接口与公司内部网络相连,Untrust 区域接口与外部网络相连。值得注意的是,Trust 区域接口和Untrust 区域接口分别处于两个不同的子网中。
