什么是民用住宅建筑防火墙

7人参与回答

• 勤奋的akz

  防火墙（Firewall）是指一个由软件或硬件设备组合而成，处于企业或网络群体电脑与外界通道之间，用来加强因特网与内部网之间安全防范的一个或一组系统。它控制网络内外的信息交流，提供接入控制和审查跟踪，是一种访问控制机制。一般防火墙具备以下特点：广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览、HTIP服务、FIP服务等；通过对专用数据的加密支持，保证通过Internet进行的虚拟专用网商务活动不受破坏；客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；反欺骗。欺骗是从外部获取网络访问权的常用手段，它使数据包好象来自网络内部。防火墙能监视这样的数据包并能扔掉它们。防火墙的设置有两条原则：一是“凡是未被准许的就是禁止的”。另一条策略与此正好相反，它坚持“凡是未被禁止的就是允许的”。然后再逐项剔除有害的内容，被禁止的内容越多，防火墙的作用就越大。在此策略下，网络的灵活性得到完整地保留。但是就怕漏过的信息太多，使安全风险加大，并且网络管理者往往疲于奔命，工作量增大。正因为安全领域中有许多变动的因素，所以安全策略的制定不应建立在静态的基础上。在制定防火墙安全规则时，应符合“可适应性的安全管理”模型的原则，即：安全=风险分析＋执行策略＋系统实施＋漏洞监测＋实时响应从而满足综合性与整体性相结合的要求。现有的防火墙技术主要有两大类：数据包过滤技术和代理服务技术。第一类是数据包过滤技术（PacketFilter）。它是在网络层对数据包实施有选择的放行。第二类是代理服务技术（ProXyService）。这是一种基于代理服务器的防火墙技术，通常由两部分构成--客户与代理服务器连接，代理服务器再与外部服务器连接，而内部网络与外部网络之间没有直接的连接关系。防火墙是有其局限性的：防火墙不能防止绕过防火墙的攻击。比如，一个企业内联网设置了防火墙，但是该网络的一个用户基于某种理由另外直接与网络的服务提供商连接，绕过了企业内联网的保护，为该网留下了一个供人攻击的后门，成了一个潜在的安全隐患。防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点挖掘，因此可能受到黑客们的攻击。像企业内联网由于管理原因造成的人为破坏，防火墙是无能为力的。防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的攻击。任何防火墙不可能对通过的数据流中每一个文件进行扫描检查病毒。目前市场上很多流行的安全设备都属于静态安全技术范畴，如防火墙和系统外壳等外围保护设备。外围保护设备针对的是来自系统外部的攻击，一旦外部侵入者进入了系统，他们便不受任何阻挡。认证手段也与此类似，一旦侵入者骗过了认证系统，那么侵入者便成为系统的内部人员。传统防火墙的缺点在于无法做到安全与速度同步提高，一旦考虑到安全因素而对网络数据流量进行深入检测和分析，那么网络传输速度势必受到影响。静态安全技术的缺点是需要人工来实施和维护，不能主动跟踪侵入者。传统的防火墙产品就是典型的这类产品。其高昂的维护费用和对网络性能的影响，任何人都无法回避。系统管理员需要专门的安全分析软件和技术来确定防火墙是否受到攻击。针对静态安全技术的不足，许多世界网络安全和管理专家都提出了各自的解决方案，如NAI为传统的防火墙技术做出了重要的补充和强化，其最新的防火墙系统GauntletFirewa113.0forwindowsNT包含了NAI技术专家多年来的研究成果“自适应代理技术”等。

• 可通过家人团圆

  先说说传统的安全设备：

  入侵防御设备 IPS

  应用安全防护体系不完善，只能针对操作系统或者应用软件的底层漏洞进行防护，缺乏针对Web攻击威胁的防御能力，对Web攻击防护效果不佳。缺乏攻击事后防护机制，不具备数据的双向内容检测能力，对未知攻击产生的后果无能为力，如入侵防御设备无法应对来自于web网页上的SQL，XSS漏洞，无法防御来自内网的敏感信息泄露或者敏感文件过滤等等。

  Web应用防火墙 WAF

  传统Web防火墙面对当前复杂的业务流量类型处理性能有限，且只针对来自Web的攻击防护，缺乏针对来自应用系统底层漏洞的攻击特征，缺乏基于敏感业务内容的保护机制，只能提供简单的关键字过滤功能，无法对Web业务提供L2-L7层的整体安全防护。

  传统的“串糖葫芦式的组合方案”

  由于防火墙功能上的缺失使得企业在网络安全建设的时候针对现有多样化的攻击类型采取了打补丁式的设备叠加方案，形成了“串糖葫芦”式部署。通常我们看到的网络安全规划方案的时候都会以防火墙+入侵防御系统+网关杀毒+……的形式。这种方式在一定程度上能弥补防火墙功能单一的缺陷，对网络中存在的各类攻击形成了似乎全面的防护。但在这种环境中，管理人员通常会遇到如下的困难：

  一，有几款设备就可以看到几种攻击，但是是割裂的难以对安全日志进行统一分析；有攻击才能发现问题，在没有攻击的情况下，就无法看到业务漏洞，但这并不代表业务漏洞不存在；即使发现了攻击，也无法判断业务系统是否真正存在安全漏洞，还是无法指导客户进行安全建设；

  二，有几种设备就可以防护几种攻击，但大部分客户无法全部部署，所以存在短板；即使全部部署，这些设备也不对服务器和终端向外主动发起的业务流进行防护，在面临新的未知攻击的情况下缺乏有效防御措施，还是存在被绕过的风险。

  传统的有缺陷，所以升级版UTM与NGWF怎么样呢？

  这种设备的理念是将多个功能模块集中如：FW、IPS、AV，联合起来达到统一防护，集中管理的目的。这无疑给安全建设者们提供了更新的思路。

  事实证明国内市场UTM产品确实得到用户认可，据IDC统计数据09年UTM市场增长迅速，但2010年UTM的增长率同比有明显的下降趋势。这是因为UTM设备仅仅将FW、IPS、AV进行简单的整合，传统防火墙安全与管理上的问题依然存在，比如缺乏对WEB服务器的有效防护等；另外，UTM开启多个模块时是串行处理机制，一个数据包先过一个模块处理一遍，再重新过另一个模块处理一遍，一个数据要经过多次拆包，多次分析，性能和效率使得UTM难以令人信服。Gartner认为“UTM安全设备只适合中小型企业使用，而NGFW才适合员工大于1000人以上规模的大型企业使用。”

  NGWF功能已经相当完备，然而不同的厂家生产的设备性能也不一样。大部分下一代防火墙只能看到除web攻击外的大部分攻击，极少部分下一代防火墙能够看到简单的WEB攻击，但均无法看到业务的漏洞。攻击和漏洞无法关联就很难确定攻击的真实性；另外，大部分下一代防火墙防不住web攻击，也不对服务器/终端主动向外发起的业务流进行防护，比如信息泄露、僵尸网络等，应对未知攻击的方式比较单一，只通过简单的联动防护，仍有被绕过的风险。

• 风电氢能

  防火墙指隔离在本地网络与外界网络之间的一道防御系统，通过它可以隔离风险区域【即Internet或有一定风险的网络】与安全区域【局域网】的连接，同时不会妨碍人们对风险区域的访问。所以它一般连接在核心交换机与外网之间。 防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的：可以限制他人进入内部网络，过滤掉不安全服务和非法用户；防止入侵者接近你的防御设施；限定用户访问特殊站点，为监视Internet安全提供方便。

• 东益畜牧

  1、强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。

  2、监控网络存取和访问如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

  3、防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

  4、实现数据库安全的实时防护数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。

  5、其他功能除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个（或多个）网络间，实施网络之间访问控制的一组组件集合。

• 我不放弃爱你稻

  术语：耐火极限：在标准耐火试验条件下，建筑构件、配件或结构从受到火的作用时起，至失去承载能力、完整性或隔热性时止所用时间，等级用小时【h】表示。防火分区：在建筑内部采用防火墙、楼板及其他防火分隔设施分隔而成，能在一定时间内防止火灾向同一建筑其余部分蔓延的局部空间。防火墙：防止火灾蔓延至相邻建筑或相邻水平防火分区且耐火极限不低于3.00h的不燃性墙体。防火隔墙：建筑内防止火灾蔓延至相邻区域且耐火极限不低于规定要求的不燃性墙体。区分一下「防火墙」和「防火隔墙」的概念。■共同点：都是不燃性墙体，对耐火极限有一定要求都具有防止火灾蔓延的功能■不同点：防火墙可位于建筑边界，防火隔墙位于建筑内防火墙耐火极限不能低于3.00h，防火隔墙耐火极限可根据实际需要调整。概念解读：不燃性墙体，耐火极限不低于3小时，重要防火构件，与其他防火构件构成防火分区，能防止火灾蔓延至相邻建筑或相邻水平防火分区内，在火灾初期和灭火过程中，能将火灾有效限制在一定空间内，对于减少火灾损失具有重要作用。通常防火墙分为：内防火墙、外防火墙和室外独立墙几种类型。防火构件：固定式防火分隔构件：防火墙，普通砖墙、楼板等可开启关闭式防火分隔构件：防火门、防火窗、防火卷帘、防火水幕等。《GB50016-建筑设计防火规范》规定：6. 1. 1火墙应直接设置在建筑的基础或框架、梁等承重结构上，框架、梁等承重结构的耐火极限不应低于防火墙的耐火极限。防火墙应从楼地面基层隔断至梁、楼板或屋面板的底面基层。当高层厂房（仓库） 屋顶承重结构和屋面板的耐火极限低于100h，其他建筑屋顶承重结构和屋面板的耐火极限低于0.50h时，防火墙应高出屋面0.加以上。6. 1. 2防火墙横截面中心线水平距离天窗端面小子4.0m，且天窗端面为可燃性墙体时，应采取防止火势蔓延的措施。6. 1. 3建筑外墙为难燃性或可燃性墙体时，防火墙应凸出墙的外表面0.4m以上，且防火墙两侧的外墙均应为宽度均不小于2.0m的不燃性墙体，其耐火极限不应低于外墙的耐火极限。建筑外墙为不燃性墙体时， 防火墙可不凸出墙的外表面，紧靠防火墙两侧的门、 窗、洞口之间最近边缘的水平距离不应小于2.0m：采取设置乙级防火窗等防止火灾水平蔓延的措施时，该距离不限。6. 1. 4建筑内的防火墙不宜设置在转角处， 确需设置时，内转角两侧墙上的门、 窗、 洞口之间最近边缘的水平距离不应小于4.0m；采取设置乙级防火窗等防止火灾水平蔓延的措施时，该距离不限。6. 1. 5防火墙上不应开设门、窗、洞口，确需开设时，应设置不可开启或火灾时能自动关闭的甲级防火门、窗。可燃气体和甲、乙、丙类液体的管道严禁穿过防火墙。防火墙内不应设置排气道。6. 1. 6除本规范第6. 1. 5规定外的其他管道不宜穿过防火墙，确需穿过时，，应采用防火封堵材料将墙与管道之间的空隙紧密填实，穿过防火墙处的管道保温材料，应采用不燃材料；当管道为难燃及可燃材料时，应在防火墙两侧的管道上采取防火措施。6. 1. 7防火墙的构造应能在防火墙任意侧的屋架、梁、楼板等受到火灾的影响而破坏时，不会导致防火墙倒塌。《GB50016-建筑设计防火规范》

• 仙帝流芒

  它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。2.使用Firewall的益处保护脆弱的服务通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如， Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。控制对系统的访问Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server。集中的安全管理Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统， 而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。增强的保密性使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。记录和统计网络利用数据以及非法使用数据Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据， 来判断可能的攻击和探测。策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。3.防火墙的种类防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。数据 包过 滤数据包过滤【Packet Filtering】技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表【Access Control Table】。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， 网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。代理服务【Proxy Service】也称链路级网关或TCP通道【Circuit Level Gateways or TCP Tunnels】， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的链接， 由两个终止代理服务器上的链接来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。

• 稀客sn

  防火墙是Internet上广泛应用的一种安全措施，它是设置在不同网络或网络安全域之间的一系列部件的组合，它能通过监测、限制、更改跨越防火墙的数据流，尽可能地检测网络内外信息、结构和运行状况，以此来实现网络的安全保护。防火墙技术通过配置全套的安全解决方案能有效地实现网络访问的安全控制，防止内部网络重要信息泄露，隔离过滤Internet上的不健康、不安全站点，阻止信息资源的非法访问和外部不可预料的潜在破坏。