防火墙

定义 防火墙(英文：firewall)是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可以是一台专属的硬件也可以是架设在一般硬件上的一套软件

一种位于内部网络与外部网络之间的网络安全系统

ICF工作原理 ICF被视为状态防火墙，状态防火墙可监视通过其路径的所有通讯，并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端，ICF保留了所有源自ICF计算机的通讯表。在单独的计算机中，ICF将跟踪源自该计算机的通信。与ICS一起使用时，ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用网络计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时（这说明通讯交换是从计算机或专用网络内部开始的），才允许将传入Internet通信传送给网络中的计算机。

源自外部源ICF计算机的通讯（如Internet）将被防火墙阻止，除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知，而是静态地阻止未经请求的通讯，防止像端口扫描这样的常见黑客袭击

防火墙的种类 从结构上来分，防火墙有两种：

代理主机结构和路由器+过滤器结构

内部网络过滤器(Filter)路由器(Router)Internet

从原理上来分，防火墙则可以分成4种类型：

特殊设计的硬件防火墙

数据包过滤型

电路层网关

应用级网关

安全性能高的防火墙系统都是组合运用多种类型防火墙，构筑多道防火墙“防御工事”

吞吐量 网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在没有帧丢失的情况下，设备能够接受的最大速率。其测试方法是：在测试中以一定速率发送一定数量的帧，并计算待测设备传输的帧，如果发送的帧与接收的帧数量相等，那么就将发送速率提高并重新测试；如果接收帧少于发送帧则降低发送速率重新测试，直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。

吞吐量和报文转发率是关系防火墙应用的主要指标，一般采用FDT(Full Duplex Throughput)来衡量，指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。

主要

类型

网络层防火墙

应用层防火墙

根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。

基本

特性 内部网络和外部网络之间的所有网络数据流都必须经过防火墙

只有符合安全策略的数据流才能通过防火墙

防火墙自身应具有非常强的抗攻击免疫力

优点 　 （1）防火墙能强化安全策略。

（2）防火墙能有效地记录Internet上的活动。

（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影 响一个网段的问题通过整个网络传播。

（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。-

本文转自 linuxpp 51CTO博客，原文链接：http://blog.51cto.com/13505118/2056252，如需转载请自行联系原作者