防火墻的基本準則:

    1、一切未被允許的就是禁止的，

防火墻的基本準則

    供的服務逐項開放。這是一種非常實用的方法，可以造成一種十分安全的環境，因為只有經

    過仔細挑選的服務才被允許使用。其弊端是，安全性高于用戶使用的方便性，用戶所能使用

    的服務范圍受到限制。

    2、一切未被禁止的就是允許的。基于該準則，防火墻就轉發所有信息流，然后逐項屏

    蔽可能有害的服務。這種方法構成了一種更為靈活的應用環境，可為用戶提供更多的服務。

    其弊端是，在日益增多的網絡服務面前，網管人員疲于奔命，特別是受保護的網絡范圍增大

    時，很難提供可靠的安全防護。 防火墻的基本類型有：

    （1）包過濾型（Packet Filter）：包過濾通常安裝在路由器上，并且大多數商用路

    由器都提供了包過濾的功能。另外，PC機上同樣可以安裝包過濾軟件。包過濾規則以IP包信

    息為基礎，對IP源地址、IP目標地址、封裝協議（TCP/UDP/ICMP/IP Tunnel）、端口號等

    進行篩選。包過濾在OSI協議網絡層進行。

    （2）、代理服務型（Proxy Sservice）：代理服務型防火墻通常由兩部分構成，服務

    器端程序和客戶端程序，

電腦資料

    問的外部服務器實際連接。與包過濾防火墻不同的是,內部網與外部網之間不存在直接的連

    接，同時提供日志（Log）及審計（Audit）服務 。

    （3）、復合型（Hybrid）防火墻：把包過濾和代理服用兩種方法結合起來，可以形成

    新的防火墻，所用主機稱為堡壘主機（Bastion Host），負責提供代理服務。

    （4）、 其他防火墻：路由器和各種主機按其配置和功能可組成各種類型的防火墻。

    雙宿主主機防火墻（Dual-Homed Host Firewall）。堡壘主機充當網關，并在其上運

    行防火墻軟件。內部網與外部網之間不能直接進行通信，必須經過堡壘主機。

    主機過濾防火墻(Screened Host Firewall)。一個包過濾路由器與外部網相連，同時，

    一個堡壘主機安裝在內部網上，使堡壘主機成為外部網所能到達的唯一節點，確保內部網不

    受外部非授權用戶的攻擊。

    加密路由器(Encrypting Router)。加密路由器對通過路由器的信息流進行加密和壓

    縮，然后通過外部網絡傳輸到目的端進行解壓縮和解密。