【IT168 专稿】在网络基础设施中，必须尽力保证网络上所有信息流都是有效信息流。有效信息流可以归于期望的网络信息流一类，例如：支持的服务、无欺骗的信息流等等。

　　防火墙用于控制网络间的信息流，且经常用来控制所支持的网络服务流。网络基础设施中的验证数据能够提供更为合理的安全性，以防报文分组被更改。利用防火墙来阻止网络攻击有助于阻止欺骗的信息流。

　　网络防火墙

　　确保基础设施完整性的一种常用方法是采用防火墙。用最简单的话说，防火墙的作用就是用来控制信息流的流动。它制定一系列规则允许或拒绝不同类型的通信，并执行所制定的路由决策。经许可或被拒绝的通信可以包括特定的网络服务。在通常情况下，防火墙都部署在网络基础设施的关键入口或出口。

　　目前有3类包含不同过滤功能的防火墙：第一类是包过滤。这类防火墙只根据单个包的TCP、UDP、ICMP和IP报头决定允许或拒绝信息流。包过滤器将综合考虑信息流方向(入站或出站)、IP源地址和目标地址、以及TCP或UDP的源端口号和目的端口号。第二类是电路层过滤。这类防火墙通过保护状态信息和重构与信息流相关的数据流来控制访问。电路层过滤防火墙不会把包从一端移到另一端，除非此站点属于已建立连接的一部分。另一类是应用层过滤。这类防火墙用于处理与特定IP应用相关的报文。可以调整这些网关以在用于特定的协议，当采用更加新的协议时，不能有效地保护信息流。在确定何种过滤防火墙更适合实际的环境前，应当先检查该环境中可以实施的信息流控制。大多数控制都基于信息流方向、信息流来源、IP地址、端口号、认证和应用内容这几种特性的组合

　　信息流方向，入站和出站的信息流都能够被过滤。通常情况下，入站信息流均从外部不可信的信息员进入内部的可信网络。而出站信息流则从内部可信网络发送到外部不可信网络。在管理信息流时，需要考虑的因素之一是该信息流来源来自内部(可信的)网络还是外部(不可信)网络。在IP地址当中，可以使用源地址或目的地址对特定的信息流进行过滤。这种方法用于实现先导控制，有助避免欺骗性攻击。TCP和UDP的源和目的端口号均可用来区分并过滤不同类型的服务。在一些可信网络的入口，用户在访问特定的服务(如Telnet、FTP或HTTP)前需要通过认证。可用的认证机制很多，但它们的目标是一致的，都用来对应用进行控制以及审核服务的访问对象。再就是检查应用内容和选定某种控制是有用的。为此可能需要详细了解对某个URL或特殊内容类型(像Java小程序)的过滤。