過濾型防火墻

在Linux系統(tǒng)下,過濾功能是內(nèi)建于核心的（作為一個(gè)核心模塊，或者直接內(nèi)建），同時(shí)還有一些可以運(yùn)用于數(shù)據(jù)包之上的技巧，不過常用的依然是查看包頭以決定包的命運(yùn)。 過濾防火墻將對每一個(gè)接收到的包做出允許或拒絕的決定。具體地講，它針對每一個(gè)數(shù)據(jù)包的包頭，按照過濾規(guī)則進(jìn)行判定，與規(guī)則相匹配的包依據(jù)路由信息繼續(xù)轉(zhuǎn)發(fā)，否則就丟棄。過濾是在IP層實(shí)現(xiàn)的，過濾根據(jù)數(shù)據(jù)包的源IP地址、目的IP地址、協(xié)議類型（TCP包、UDP包、ICMP包）、源端口、目的端口等包頭信息及數(shù)據(jù)包傳輸方向等信息來判斷是否允許數(shù)據(jù)包通過。

防火墻的特殊加密技術(shù)

計(jì)算機(jī)信息傳輸?shù)倪^程中，借助防火墻還能夠有效的實(shí)現(xiàn)信息的加密，通過這種加密技術(shù)，相關(guān)人員就能夠?qū)鬏數(shù)男畔⑦M(jìn)行有效的加密，其中信息密碼是信息交流的雙方進(jìn)行掌握，對信息進(jìn)行接受的人員需要對加密的信息實(shí)施處理后，才能獲取所傳輸?shù)男畔?shù)據(jù)，在防火墻加密技術(shù)應(yīng)用中，要時(shí)刻注意信息加密處理安全性的保障。

防火墻的重要性

防病毒產(chǎn)品均以單機(jī)為防病毒對象，不能有效地防止病毒在網(wǎng)上蔓延。而在網(wǎng)絡(luò)上，病毒正是以網(wǎng)絡(luò)服務(wù)器為傳播源，通過服務(wù)器，病毒迅速地在網(wǎng)絡(luò)上傳播，直到整個(gè)網(wǎng)絡(luò)，使網(wǎng)絡(luò)癱瘓。一機(jī)一卡所帶來的缺陷。開發(fā)商從市場角度考慮，將防病毒卡與產(chǎn)品加密合二為一，但卻給用戶帶來了許多不便：占用硬件資源(如擴(kuò)充槽口、I/O口或中斷資源)；增加內(nèi)存開銷，易發(fā)生防病毒系統(tǒng)與其它應(yīng)用系統(tǒng)的軟硬件沖突；影響計(jì)算機(jī)執(zhí)行速度。因?yàn)榉啦《拒浖獙?shí)現(xiàn)實(shí)時(shí)監(jiān)控，就一定要占用CPU時(shí)間，這必然會(huì)使計(jì)算機(jī)執(zhí)行速度下降。

防火墻在企業(yè)環(huán)境的應(yīng)用

1、互聯(lián)網(wǎng)出口設(shè)備

因?yàn)镮nternet就是一個(gè)典型的“外網(wǎng)”，當(dāng)企業(yè)網(wǎng)絡(luò)接入Internet的時(shí)候，為了保證內(nèi)部網(wǎng)絡(luò)不受來自外部的威脅侵害，就會(huì)在互聯(lián)網(wǎng)出口的位置部署防火墻。

2、分支機(jī)構(gòu)接骨干網(wǎng)作邊界設(shè)備

在電力行業(yè)、金融行業(yè)等大型跨地，跨省的企業(yè)時(shí)，為了企業(yè)中各個(gè)省級、地市級單位的內(nèi)部數(shù)據(jù)通信通常都會(huì)自建一張骨干網(wǎng)絡(luò)。

每個(gè)省級、地市級單位辦公網(wǎng)絡(luò)接入骨干網(wǎng)時(shí)，就可以在網(wǎng)絡(luò)接入點(diǎn)部署防火墻，進(jìn)一步提高每個(gè)單位的辦公網(wǎng)絡(luò)安全性。

3、數(shù)據(jù)中心內(nèi)保護(hù)服務(wù)器

數(shù)據(jù)中心（DataCenter）是為企業(yè)存放重要數(shù)據(jù)資料的，同時(shí)數(shù)據(jù)中心內(nèi)會(huì)放置各種各樣功能不一的服務(wù)器。

想要保證數(shù)據(jù)的安全，首先就要保證這些服務(wù)器的安全。物理上的安全嘛，你就防火防水防賊唄，應(yīng)用上的安全，找殺毒軟件嘛；但是在網(wǎng)絡(luò)上防止，防止非授權(quán)人員操作服務(wù)器，就需要到防火墻來發(fā)揮作用了。

一般在傳統(tǒng)的數(shù)據(jù)中心內(nèi)，會(huì)根據(jù)不同的功能來決定服務(wù)器的分區(qū)，然后在每個(gè)分區(qū)和核心設(shè)備的連接處部署防火墻。