本文目录一览：

• 1、什么是防火墙？
• 2、 *** 防火墙是指什么？
• 3、防火墙是什么

什么是防火墙？

防火墙（Firewall）是指在本地 *** 与外界 *** 之间的一道防御系统，是这一类防范措施总称。防火墙是在两个 *** 通信时执行的一种访问控制尺度，它能允许“被同意”的人和数据进入你的 *** ，同时将“不被同意”的人和数据拒之门外，更大限度地阻止 *** 中的黑客来访问你的 *** 。互联网上的防火墙是一种非常有效的 *** 安全模型，通过它可以使企业内部局域网与Internet之间或者与其他外部 *** 互相隔离、限制 *** 互访，从而达到保护内部 *** 目的。

概述

以“防火墙”这个来自建筑行业的名称，来命名计算机 *** 的安全防护系统，显得非常恰当，因为两者之间有许多相似之处。首先，从建筑学来说，防火墙必须用砖石材料、钢筋混凝土等非可燃材料建造，并且应直接砌筑在建筑物基础或钢筋混凝土的框架梁上。如开门窗时，必须用非燃烧体的防火门窗，以切断一切燃烧体。而在计算机系统上，防

火墙本身需要具有较高的抗攻击能力，应设置于系统和 *** 协议的底层，访问与被访问的端口必须设置严格的访问规则，以切断一切规则以外的 *** 连接。其次，在建筑学上，建筑物的防火安全性，是由各相关专业和相应设备共同保证的。而在计算机系统上，防火墙的安全防护性能是由防火墙、用户设置的规则和计算机系统本身共同保证的。另外在建筑学上，原有的材料和布置的变化，将使防火墙失去作用，随着时间的推移，一些经过阻燃处理的材料，其阻燃性也逐步丧失。在计算机系统上也是如此，计算机系统 *** 的变化，系统软硬件环境的变化，也将使防火墙失去作用，而随着时间的推移，防火墙原有的安全防护技术开始落后，防护功能也就慢慢地减弱了。它是根据访问安全策略对两个或者更多 *** 之间的通信进行限制的软件或硬件。

功能

防火墙对流经它的 *** 通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

为什么使用防火墙

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

类型

正在加载防火墙

防火墙有不同类型。一个防火墙可以是硬件自身的一部分，你可以将因特网连接和计算机都插入其中。防火墙也可以在一个独立的机器上运行，该机器作为它背后 *** 中所有计算机的 *** 和防火墙。最后，直接连在因特网的机器可以使用个人防火墙。

从防火墙的软、硬件形式来分的话，防火墙可以分为软件防火墙和硬件防火墙以及芯片级防火墙。

(1) 软件防火墙

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个 *** 的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。例如Sygate Fireware、天网防火墙等。

(2) 硬件防火墙

硬件防火墙基于硬件平台的 *** 防预系统，与芯片级防火墙相比并不需要专门的硬件。目前市场上大多数防火墙都是这种硬件防火墙，他们基于PC架构。

(3) 芯片级防火墙

芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。例如NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统），防火墙本身的漏洞比较少，不过价格相对比较高昂。

从防火墙的技术来分的话，防火墙可以分为包过滤型、应用 *** 型

(1) 包过滤（Packet filtering）型

包过滤型防火墙工作在OSI *** 参考模型的 *** 层和传输层，它根据数据包头源地址，目的地址、端口号和协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被转发到相应的目的地，其余数据包则从数据流中被丢弃。

(2) 应用 *** （Application Proxy）型

应用 *** 型防火墙是工作在OSI的更高层，即应用层。其特点是完全“阻隔”了 *** 通信流，通过对每种应用服务编制专门的 *** 程序，实现监视和控制应用层通信流的作用。

目前防火墙已经在Internet上得到了广泛的应用。但是，防火墙并不能解决所有的 *** 安全问题，而只是 *** 安全政策和策略中的一个组成部分，但了解防火墙技术并学会在实际操作中应用防火墙技术，对于维护 *** 安全具有非常重要的意义。

功能

防火墙是 *** 安全的屏障

正在加载防火墙

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部 *** 的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以 *** 环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS

*** 防火墙是指什么？

防火墙（Firewall）是指一个由软件或硬件设备组合而成，处于企业或 *** 群体电脑与外界通道之间，用来加强因特网与内部网之间安全防范的一个或一组系统。它控制 *** 内外的信息交流，提供接入控制和审查跟踪，是一种访问控制机制。

一般防火墙具备以下特点：

广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览、HTIP服务、FIP服务等；通过对专用数据的加密支持，保证通过Internet进行的虚拟专用网商务活动不受破坏；客户端认证只允许指定的用户访问内部 *** 或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；反欺骗。欺骗是从外部获取 *** 访问权的常用手段，它使数据包好象来自 *** 内部。防火墙能监视这样的数据包并能扔掉它们。

防火墙的设置有两条原则：一是“凡是未被准许的就是禁止的”。另一条策略与此正好相反，它坚持“凡是未被禁止的就是允许的”。防火墙先是转发所有的信息，起初这堵墙几乎不起作用，如同虚设；然后再逐项剔除有害的内容，被禁止的内容越多，防火墙的作用就越大。在此策略下， *** 的灵活性得到完整地保留。但是就怕漏过的信息太多，使安全风险加大，并且 *** 管理者往往疲于奔命，工作量增大。

正因为安全领域中有许多变动的因素，所以安全策略的制定不应建立在静态的基础上。在制定防火墙安全规则时，应符合“可适应性的安全管理”模型的原则，即：

安全=风险分析＋执行策略＋系统实施＋漏洞监测＋实时响应从而满足综合性与整体性相结合的要求。

现有的防火墙技术主要有两大类：数据包过滤技术和 *** 服务技术。之一类是数据包过滤技术（PacketFilter）。它是在 *** 层对数据包实施有选择的放行。第二类是 *** 服务技术（ProXyService）。这是一种基于 *** 服务器的防火墙技术，通常由两部分构成--客户与 *** 服务器连接， *** 服务器再与外部服务器连接，而内部 *** 与外部 *** 之间没有直接的连接关系。

防火墙是有其局限性的：

防火墙不能防止绕过防火墙的攻击。比如，一个企业内联网设置了防火墙，但是该 *** 的一个用户基于某种理由另外直接与 *** 的服务提供商连接，绕过了企业内联网的保护，为该网留下了一个供人攻击的后门，成了一个潜在的安全隐患。

防火墙经不起人为因素的攻击。由于防火墙对 *** 安全实施单点挖掘，因此可能受到黑客们的攻击。像企业内联网由于管理原因造成的人为破坏，防火墙是无能为力的。

防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证 *** 不受病毒的攻击。任何防火墙不可能对通过的数据流中每一个文件进行扫描检查病毒。

目前市场上很多流行的安全设备都属于静态安全技术范畴，如防火墙和系统外壳等外围保护设备。外围保护设备针对的是来自系统外部的攻击，一旦外部侵入者进入了系统，他们便不受任何阻挡。认证手段也与此类似，一旦侵入者骗过了认证系统，那么侵入者便成为系统的内部人员。传统防火墙的缺点在于无法做到安全与速度同步提高，一旦考虑到安全因素而对 *** 数据流量进行深入检测和分析，那么 *** 传输速度势必受到影响。

静态安全技术的缺点是需要人工来实施和维护，不能主动跟踪侵入者。传统的防火墙产品就是典型的这类产品。其高昂的维护费用和对 *** 性能的影响，任何人都无法回避。系统管理员需要专门的安全分析软件和技术来确定防火墙是否受到攻击。

针对静态安全技术的不足，许多世界 *** 安全和管理专家都提出了各自的解决方案，如NAI为传统的防火墙技术做出了重要的补充和强化，其最新的防火墙系统GauntletFirewa113.0forwindowsNT包含了NAI技术专家多年来的研究成果“自适应 *** 技术”等。

防火墙是什么

防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网（US5606668（A）1993-12-15）。它是一种位于内部 *** 与外部 *** 之间的 *** 安全系统。一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。 防火墙的发明者是吉尔·舍伍德。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性 *** 的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的 *** 之间的软件或硬件。该计算机流入流出的所有 *** 通信和数据包均要经过此防火墙。

在 *** 中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的 *** ，它实际上是一种隔离技术。防火墙是在两个 *** 通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的 *** ，同时将你“不同意”的人和数据拒之门外，更大限度地阻止 *** 中的黑客来访问你的 *** 。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

什么是防火墙

XP系统相比于以往的Windows系统新增了许多的 *** 功能（Windows 7的防火墙一样很强大，可以很方便地定义过滤掉数据包），例如Internet连接防火墙（ICF），它就是用一段"代码墙"把电脑和Internet分隔开，时刻检查出入防火墙的所有数据包，决定拦截或是放行那些数据包。防火墙可以是一种硬件、固件或者软件，例如专用防火墙设备就是硬件形式的防火墙，包过滤路由器是嵌有防火墙固件的路由器，而 *** 服务器等软件就是软件形式的防火墙。

ICF工作原理

ICF被视为状态防火墙，状态防火墙可监视通过其路径的所有通讯，并且检查所处理的每个消息的源和目标地址。为了防止来自连接公用端的未经请求的通信进入专用端，ICF保留了所有源自ICF计算机的通讯表。在单独的计算机中，ICF将跟踪源自该计算机的通信。与ICS一起使用时，ICF将跟踪所有源自ICF/ICS计算机的通信和所有源自专用 *** 计算机的通信。所有Internet传入通信都会针对于该表中的各项进行比较。只有当表中有匹配项时（这说明通讯交换是从计算机或专用 *** 内部开始的），才允许将传入Internet通信传送给 *** 中的计算机。

源自外部源ICF计算机的通讯（如Internet）将被防火墙阻止，除非在“服务”选项卡上设置允许该通讯通过。ICF不会向你发送活动通知，而是静态地阻止未经请求的通讯，防止像端口扫描这样的常见黑客袭击。

防火墙的种类防火墙从诞生开始，已经历了四个发展阶段：基于路由器的防火墙、用户化的防火墙工具套、建立在通用操作系统上的防火墙、具有安全操作系统的防火墙。常见的防火墙属于具有安全操作系统的防火墙，例如NETEYE、NETSCREEN、TALENTIT等。

从结构上来分，防火墙有两种：即 *** 主机结构和路由器+过滤器结构，后一种结构如下所示：内部 *** 过滤器（Filter）路由器（Router）Internet

从原理上来分，防火墙则可以分成4种类型：特殊设计的硬件防火墙、数据包过滤型、电路层网关和应用级网关。安全性能高的防火墙系统都是组合运用多种类型防火墙，构筑多道防火墙“防御工事”。