防火墙的接入模式有哪些

一、防火墙技术

防火墙为企业信息系统和Intranet提供基本的接入控制业务，按照给定的安全策略截获数据流，并允许合法业务通过。防火墙利用包过滤器或应用网关，可在网络层或传输层提供接入控制业务，但它并不能解决所有安全问题。

防火墙策略是网络安全策略的重要组成部分。网络安全策略描述有组织的网络安全控制和限定安全在组织环境中实现的方法。防火墙策略用于确定内部和外部可以接受的TCP/IP协议和业务。一个防火墙可能实现多种业务接入策略。防火墙的策略要尽可能的灵活，这主要是因为Internet是在不断变化中，它的组成和业务常常在变动中，不断地提供新的业务、方法和各种新的可能性，TCP/IP协议和业务的更新带来业务上的方便，同时也不断提出新的安全方面的要求。防火墙的安全策略应能反映和调整以适应这种情况。

设计防火墙的立足点是关键性的决策。它反映了设计者的基本想法，它决定了防火墙故障或失效后的代价以及对这类事件可能性的估计。当然也涉及设计者的眼光和能力。一般有两种出发点：

●除了明确否定外允许任何业务。

●除了明确许可外拒绝任何业务。

实现第一种想法的防火墙允许所有TCP/IP协议和业务，只要它们按接入政策不是被明确禁止的。这种方法提供了较多的通过防火墙的途径，例如一些新的业务可能是未被明令禁止的，又如在非标准接口运行未被政策明确拒绝的否认业务等。

实现第二种想法的防火墙，只允许由政策明确允许的业务，其他一律拒绝。从信息安全上看这是较好的，但从可接入性上则是过于严格了。

防火墙的组成和结构的不同选取可实现不同水平的安全性，如图8-5所示。

图8-5　防火墙示意图

（1）Internet和Intranet之间完全透明。

（2）Internet和Intranet之间有包过滤器，对业务流的截获过滤。

（3）Internet和Intranet之间有包过滤器和应用网关。应用层网关和线路层网关可以实施不同安全水平的认证，还可附加E-mail网关和命名业务，防火墙还可依赖安全操作系统提高其程序代码和文件的安全性。防火墙也可支持Internet层安全协议，如IPSP和IKMP，以便在防火墙所保护的网址与相应虚拟专用网之间建立安全隧道（Secure Tunnel）。

（4）Intranet拒绝与Internet连通，与外部世界隔离。对于高度安全保密环境，这是一种唯一慎重的选择。

防火墙系统是当前Internet中不可或缺的设备，适当开发和实现的产品可为合作Intranet提供有效的接入控制。越来越多的网络管理员在Intranet中设置防火墙作为防御外部攻击的第一道防线。

随着网络应用的增加，对网络带宽提出了更高的要求。这意味着防火墙要能够以非常高的速率处理数据。另外，在以后几年里，多媒体应用将会越来越普遍，它要求数据穿过防火墙所带来的延迟要足够小。为了满足这种需要，一些防火墙制造商开发了基于ASIC的防火墙和基于网络处理器的防火墙。从执行速度的角度来看，基于网络处理器的防火墙也是基于软件的解决方案，它需要在很大程度上依赖于软件的性能，但是由于这类防火墙中有一些专门用于处理数据层面任务的引擎，从而减轻了CPU的负担，该类防火墙的性能要比传统防火墙的性能好许多。