Firewall

您可以在Wikipedia上了解到此条目的英文信息 Firewall Thanks, Wikipedia.

防火墙

防火墙(Firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可能是一台专属的硬件产品或是安装在一般硬件上的一套防火墙软件，通过它将公网与私有网络隔开。

防火墙类型

• 包过滤防火墙
• 应用层防火墙
• 代理服务

或简单划分为两类： 网络防火墙和基于主机的（个人）防火墙。也可将防火墙进一步划分为五个类别：

• 类别 1 – 个人防火墙 这些是保护单台计算机的基于主机的软件防火墙。
• 类别 2 – 路由器防火墙
• 类别 3 – 低端硬件防火墙
• 类别 4 – 高端硬件防火墙
• 类别 5 – 高端服务器防火墙

防火墙功能

防火墙功能按复杂性由低到高列出：

• 网络适配器输入筛选器

网络适配器输入筛选检查传入数据包中的源地址或目标地址及其他信息，然后阻止数据包通过或者允许它通过。此筛选仅应用于传入流量。

• 静态数据包筛选器

静态数据包筛选器将 IP 头进行匹配来确定是否允许流量经过接口。此筛选同时应用于传入和传出流量。

• 网络地址转换 (NAT)

NAT 将专用地址转换为 Internet 地址。严格的讲，虽然 NAT 不是一种防火墙技术，但是掩藏服务器的真正 IP 地址可以防止攻击者获取有关此服务器的有价值的信息。

• 状态检测

在状态检测中，所有传出流量都会记录在一个状态表中。当连接通信返回接口时，就会检查该状态表以确保该通信是从此接口发起的。

• 电路层检查

使用线路级筛选可以检查会话（与连接或数据包相对）。

• 代理

代理防火墙代表客户端收集信息，并返回它从返回客户端的服务那里接收的数据。

• 应用程序层筛选

应用程序层筛选是复杂级别最高的防火墙通信检查。好的应用程序筛选器允许您分析特定应用程序的数据流并且提供应用程序特定的处理。

防火墙设计

• 外围防火墙设计： 为保护企业基础结构不受来自 Internet 的不安全网络流量威胁而设计的防火墙解决方案。
• 内部防火墙设计： 为保护半信任网络要素与内部可信要素之间的流量而设计的第二道防火墙边界。
• 代理设计： 代理解决方案提供一种机制，让内部网络上的主机进行安全且可管理的传出通信。

除可用性、安全性和可伸缩性等设计目标外，这些技术还都必须达到特定服务级别目标

开源项目

• IPFilter
• Vyatta
• Zentyal
• pfSense
• Shorewall
• m0n0wall
• netfilter
• SmoothWall
• LEAF
• IPCop
• ModSecurity
• Firewall Builder
• SeaWall

个人防火墙

• PC Tools Firewall Plus (免费)
• Firestarter (Linux)

Nagios

Nagios plugins for monitoring firewall software

文档

• Firewall Fail: Live Test of Top Next-Gen Firewall Testing to Expose Its Breaking Points
• Protocol-Level Evasion of Web Application Firewalls
• SYNful Deceit: Stateful Subterfuge

图集

• 

  Firewall/Router/Bridge

• 

  Virtual Firewall

• 

  Web应用防火墙

• 

  Defense in Depth

• 

  安全系统

链接

• List of router or firewall distributions
• 安全网址

<discussion>characters_max=300</discussion>