伺服器安裝防火牆是什麼

⑴ 什麼是防火牆

防火牆

一、防火牆能夠作到些什麼？

1.包過濾

具備包過濾的就是防火牆？對，沒錯！根據對防火牆的定義，凡是能有效阻止網路非法連接的方式，都算防火牆。早期的防火牆一般就是利用設置的條件，監測通過的包的特徵來決定放行或者阻止的，包過濾是很重要的一種特性。雖然防火牆技術發展到現在有了很多新的理念提出，但是包過濾依然是非常重要的一環，如同四層交換機首要的仍是要具備包的快速轉發這樣一個交換機的基本功能一樣。通過包過濾，防火牆可以實現阻擋攻擊，禁止外部/內部訪問某些站點，限制每個ip的流量和連接數。

2.包的透明轉發

事實上，由於防火牆一般架設在提供某些服務的伺服器前。如果用示意圖來表示就是 Server—FireWall—Guest 。用戶對伺服器的訪問的請求與伺服器反饋給用戶的信息，都需要經過防火牆的轉發,因此，很多防火牆具備網關的能力。

3.阻擋外部攻擊

如果用戶發送的信息是防火牆設置所不允許的，防火牆會立即將其阻斷，避免其進入防火牆之後的伺服器中。

4.記錄攻擊

如果有必要，其實防火牆是完全可以將攻擊行為都記錄下來的，但是由於出於效率上的考慮，目前一般記錄攻擊的事情都交給IDS來完成了，我們在後面會提到。

以上是所有防火牆都具備的基本特性，雖然很簡單，但防火牆技術就是在此基礎上逐步發展起來的。

二、防火牆有哪些缺點和不足？

1.防火牆可以阻斷攻擊，但不能消滅攻擊源。

「各掃自家門前雪，不管他人瓦上霜」，就是目前網路安全的現狀。互聯網上病毒、木馬、惡意試探等等造成的攻擊行為絡繹不絕。設置得當的防火牆能夠阻擋他們，但是無法清除攻擊源。即使防火牆進行了良好的設置，使得攻擊無法穿透防火牆，但各種攻擊仍然會源源不斷地向防火牆發出嘗試。例如接主幹網10M網路帶寬的某站點，其日常流量中平均有512K左右是攻擊行為。那麼，即使成功設置了防火牆後，這512K的攻擊流量依然不會有絲毫減少。

2.防火牆不能抵抗最新的未設置策略的攻擊漏洞

就如殺毒軟體與病毒一樣，總是先出現病毒，殺毒軟體經過分析出特徵碼後加入到病毒庫內才能查殺。防火牆的各種策略，也是在該攻擊方式經過專家分析後給出其特徵進而設置的。如果世界上新發現某個主機漏洞的cracker的把第一個攻擊對象選中了您的網路，那麼防火牆也沒有辦法幫到您的。

3.防火牆的並發連接數限制容易導致擁塞或者溢出

由於要判斷、處理流經防火牆的每一個包，因此防火牆在某些流量大、並發請求多的情況下，很容易導致擁塞，成為整個網路的瓶頸影響性能。而當防火牆溢出的時候，整個防線就如同虛設，原本被禁止的連接也能從容通過了。

4.防火牆對伺服器合法開放的埠的攻擊大多無法阻止

某些情況下，攻擊者利用伺服器提供的服務進行缺陷攻擊。例如利用開放了3389埠取得沒打過sp補丁的win2k的超級許可權、利用asp程序進行腳本攻擊等。由於其行為在防火牆一級看來是「合理」和「合法」的，因此就被簡單地放行了。

5.防火牆對待內部主動發起連接的攻擊一般無法阻止

「外緊內松」是一般區域網絡的特點。或許一道嚴密防守的防火牆內部的網路是一片混亂也有可能。通過社會工程學發送帶木馬的郵件、帶木馬的URL等方式，然後由中木馬的機器主動對攻擊者連接，將鐵壁一樣的防火牆瞬間破壞掉。另外，防火牆內部各主機間的攻擊行為，防火牆也只有如旁觀者一樣冷視而愛莫能助。

6．防火牆本身也會出現問題和受到攻擊

防火牆也是一個os，也有著其硬體系統和軟體，因此依然有著漏洞和bug。所以其本身也可能受到攻擊和出現軟/硬體方面的故障。

7．防火牆不處理病毒

不管是funlove病毒也好，還是CIH也好。在內部網路用戶下載外網的帶毒文件的時候，防火牆是不為所動的（這里的防火牆不是指單機/企業級的殺毒軟體中的實時監控功能，雖然它們不少都叫「病毒防火牆」）。

看到這里，或許您原本心目中的防火牆已經被我拉下了神台。是的，防火牆是網路安全的重要一環，但不代表設置了防火牆就能一定保證網路的安全。「真正的安全是一種意識，而非技術!」請牢記這句話。

不管怎麼樣，防火牆仍然有其積極的一面。在構建任何一個網路的防禦工事時，除了物理上的隔離和目前新近提出的網閘概念外，首要的選擇絕對是防火牆。那麼，怎麼選擇需要的防火牆呢？

防火牆的分類

首先大概說一下防火牆的分類。就防火牆（本文的防火牆都指商業用途的網路版防火牆，非個人使用的那種）的組成結構而言，可分為以下三種：

第一種：軟體防火牆

軟體防火牆運行於特定的計算機上，它需要客戶預先安裝好的計算機操作系統的支持，一般來說這台計算機就是整個網路的網關。軟體防火牆就象其它的軟體產品一樣需要先在計算機上安裝並做好配置才可以使用。防火牆廠商中做網路版軟體防火牆最出名的莫過於Checkpoint。使用這類防火牆，需要網管對所工作的操作系統平台比較熟悉。

第二種：硬體防火牆

這里說的硬體防火牆是指所謂的硬體防火牆。之所以加上"所謂"二字是針對晶元級防火牆說的了。它們最大的差別在於是否基於專用的硬體平台。目前市場上大多數防火牆都是這種所謂的硬體防火牆，他們都基於PC架構，就是說，它們和普通的家庭用的PC沒有太大區別。在這些PC架構計算機上運行一些經過裁剪和簡化的操作系統，最常用的有老版本的Unix、Linux和FreeBSD系統。 值得注意的是，由於此類防火牆採用的依然是別人的內核，因此依然會受到os本身的安全性影響。國內的許多防火牆產品就屬於此類，因為採用的是經過裁減內核和定製組件的平台，因此國內防火牆的某些銷售人員常常吹噓其產品是「專用的os」等等，其實是一個概念誤導，下面我們提到的第三種防火牆才是真正的os專用。

第三種：晶元級防火牆

它們基於專門的硬體平台，沒有操作系統。專有的ASIC晶元促使它們比其他種類的防火牆速度更快，處理能力更強，性能更高。做這類防火牆最出名的廠商莫過於NetScreen.其他的品牌還有FortiNet,算是後起之秀了。這類防火牆由於是專用OS,因此防火牆本身的漏洞比較少，不過價格相對比較高昂，所以一般只有在「確實需要」的情況下才考慮。

在這里，特別糾正幾個不正確的觀念：

1.在性能上，晶元級防火牆>硬體防火牆>軟體防火牆。

在價格上看來，的確倒是如此的關系。但是性能上卻未必。防火牆的「好」，是看其支持的並發數、最大流量等等性能，而不是用軟體硬體來區分的。事實上除了晶元級防火牆外，軟體防火牆與硬體防火牆在硬體上基本是完全一樣的。目前國內的防火牆廠商由於大多採用硬體防火牆而不是軟體防火牆，原因1是考慮到用戶網路管理員的素質等原因，還有就是基於我國大多數民眾對「看得見的硬體值錢，看不到的軟體不值錢」這樣一種錯誤觀點的迎合。不少硬體防火牆廠商大肆詆毀軟體防火牆性能，不外是為了讓自己那加上了外殼的普通pc＋一個被修改後的內核＋一套防火牆軟體能夠賣出一個好價錢來而已。而為什麼不作晶元級防火牆呢？坦白說，國內沒有公司有技術實力。而且在中國市場上來看，某些國內的所謂硬體防火牆的硬體質量連diy的兼容機都比不上。看看國內XX的硬體防火牆那拙劣的硬碟和網卡，使用過的人都能猜到是哪家，我就不點名了。真正看防火牆，應該看其穩定性和性能，而不是用軟、硬來區分的。至少，如果筆者自己選購，我會選擇購買CheckPoint而非某些所謂的硬體防火牆的。

2.在效果上，晶元防火牆比其他兩種防火牆好

這同樣也是一種有失公允的觀點。事實上晶元防火牆由於硬體的獨立，的確在OS本身出漏洞的機會上比較少，但是由於其固化，導致在面對新興的一些攻擊方式時，無法及時應對；而另外兩種防火牆，則可以簡單地通過升級os的內核來獲取系統新特性，通過靈活地策略設置來滿足不斷變化的要求，不過其OS出現漏洞的概率相對高一些。

3.唯技術指標論

請以「防火牆買來是使用的」為第一前提進行購買。防火牆本身的質量如何是一回事，是否習慣使用又是另一回事。如果對一款產品的界面不熟悉，策略設置方式不理解，那麼即使用世界最頂級的防火牆也沒有多大作用。就如小說中武林中人無不嚮往的「倚天劍」、「屠龍刀」被我拿到，肯定也敵不過喬峰赤手的少林長拳是一般道理。防火牆技術發展至今，市場已經很成熟了，各類產品的存在，自然有其生存於市場的理由。如何把產品用好，遠比盲目地比較各類產品好。

⑵ 防火牆是什麼定義,怎麼用防火牆~~~~

防火牆（Firewall），也稱防護牆，是由Check Point創立者Gil Shwed於1993年發明並引入國際互聯網（US5606668（A）1993-12-15）。

⑶ 防火牆是什麼具體怎麼用

防火牆是什麼，它有那些功能?

所謂「防火牆」，是指一種將內部網和公眾訪問網(Internet)分開的方法，實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路，防止他們更改、拷貝、毀壞你的重要信息。
防火牆主要有硬體防火牆和軟體防火牆。硬體防火牆由路由器構成。軟體防火牆則由各類軟體實現。通常應用防火牆的目的有以下幾方面：限制他人進入內部網路；過濾掉不安全的服務和非法用戶；防止入侵者接近你的防禦設施；限定人們訪問特殊站點；為監視區域網安全提供方便。
安全規則就是對計算機所使用區域網、互聯網的內制協議設置，從而達到系統的最佳安全狀態。 在個人防火牆軟體中的安全規則方式可分為兩種：一種是定義好的安全規則，就是把安全規則定義成幾種方案，一般分為低、中、高三種。這樣不懂網路協議的用戶，就可以根據自己的需要靈活的設置不同的安全方案。還有一種用戶可以自定義安全規則，也就是說，在非常了解網路協議的情況下，你就可以根據自已所需的安全狀態，單獨設置某個協議。
個人防火牆軟體所涉及到的主要以下協議有：
ICMP消息類型、包的進入介面和出介面如果有匹配並且規則允許該數據包；
TCP:傳輸控制協議；
IP:網際協議，它負責把數據從合式的地方，以及用合式的方法傳輸；
UDP:用戶數據報文協議，UDP和TCP協議封裝在IP數據包里；
NETBUEI:網路基本輸入/輸出系統；
IPX/SPX:乙太網所用的協議；
這些協議有它們不同的用處，具體的使用根據用戶的需要來設置。

---------------------------------------------------------------

一個防火牆在一個被認為是安全和可信的內部網路和一個被認為是不
那麼安全和可信的外部網路(通常是Internet)之間提供一個封鎖工具。
在使用防火牆的決定背後, 潛藏著這樣的推理: 假如沒有防火牆, 一個網
絡就暴露在不那麼安全的Internet諸協議和設施面前, 面臨來自
Internet其他主機的探測和攻擊的危險。在一個沒有防火牆的環境里,
網路的安全性只能體現為每一個主機的功能, 在某種意義上, 所有主機必
須通力合作, 才能達到較高程度的安全性。網路越大, 這種較高程度的安
全性越難管理。隨著安全性問題上的失誤和缺陷越來越普遍, 對網路的入
侵不僅來自高超的攻擊手段, 也有可能來自配置上的低級錯誤或不合適的
口令選擇。因此, 防火牆的作用是防止不希望的、未授權的通信進出被保
護的網路, 迫使單位強化自己的網路安全政策。 一個防火牆系統通常由
屏蔽路由器和代理伺服器組成。屏蔽路由器是一個多埠的IP路由器, 它
通過對每一個到來的IP包依據一組規則進行檢查來判斷是否對之進行轉
發。屏蔽路由器從包頭取得信息, 例如協議號、收發報文的IP地址和埠
號, 連接標志以至另外一些IP選項, 對IP包進行過濾。 代理伺服器是
防火牆系統中的一個伺服器進程, 它能夠代替網路用戶完成特定的TCP/IP
功能。一個代理伺服器本質上是一個應用層的網關, 一個為特定網路應用
而連接兩個網路的網關。用戶就一項TCP/IP應用, 比如Telnet或者ftp,
同代理伺服器打交道, 代理伺服器要求用戶提供其要訪問的遠程主機名。
當用戶答復並提供了正確的用戶身份及認證信息後, 代理伺服器連通遠程
主機, 為兩個通信點充當中繼。整個過程可以對用戶完全透明。用戶提供
的用戶身份及認證信息可用於用戶級的認證。最簡單的情況是: 它只由用
戶標識和口令構成。但是, 如果防火牆是通過Internet可訪問的, 我們
推薦使用更強的認證機制,比如一次性口令或挑戰-回應式系統。 屏蔽路
由器的優點是簡單和低(硬體)成本。其缺點關繫到正確建立包過濾規則比
較困難、屏蔽路由器的管理成本、還有用戶級身份認證的缺乏。路由器生
產商們正在著手解決這些問題。特別值得注意的是, 它們正在開發編輯包
過濾規則的圖形用戶界面。他們也在制訂標準的用戶級身份認證協議, 來
提供遠程身份認證撥入用戶服務(REDIUS)。 代理伺服器的優點是用戶級
的身份認證、日誌記錄和帳號管理。其缺點關繫到這樣一個事實: 要想提
供全面的安全保證, 就要對每一項服務都建立對應的應用層網關。這個事
實嚴重地限制了新應用的採納。最近, 一個名叫SOCKS的包羅萬象的代理
伺服器問世了。SOCKS主要由一個運行在防火牆系統上的代理伺服器軟體
包和一個鏈接到各種網路應用程序的庫函數包組成。這樣的結構有利於新
應用的掛接。 屏蔽路由器和代理伺服器通常組合在一起構成混合系統,
其中屏蔽路由器主要用來防止IP欺騙攻擊。目前最廣泛採用的配置是
Dual-homed防火牆, 被屏蔽主機型防火牆, 以及被屏蔽子網型防火牆。
盡管防火牆已經在Internet業界得到了廣泛的應用, 關於防火牆的話
題仍然十分敏感。防火牆的擁護者們把防火牆看成是一種重要的新型安全
措施, 因為它把諸多安全功能集中到一點上, 大大簡化了安裝、配置和管
理的手續。許多公司把防火牆當做自己單位駐Internet的大使館, 當做
關於其項目、產品、服務等公共信息的倉庫。從美國生產廠家的觀點來
看, 防火牆技術是很有意義的, 因為它不用加密, 因而在出口上不受限
制。但是, 目前提供的大多數防火牆產品確實支持這種或那種的IP層加密
功能, 從而在這方面受到美國出口政策的控制。防火牆的另一個特色是它
不限於TCP/IP協議, 從而不只適用於Internet。 確實, 類似的技術完全
可以用在任何分組交換網路當中, 例如X.25或ATM都可以。防火牆的批評
者們一般關注的是防火牆的使用不便之處, 例如: 需要多次登錄及其他不
受約束的機制, 影響Internet的使用甚至影響Internet的生存。他們聲
稱: 防火牆給人製造一種虛假的安全感, 導致在防火牆內部放鬆安全警
惕。 他們也注意到, 許多攻擊是內部犯罪, 這是任何基於隔離的防範
措施都無能為力的。同樣, 防火牆也不能解決進入防火牆的數據帶來的所
有安全問題。如果用戶抓來一個程序在本地運行, 那個程序很可能就包含
一段惡意的代碼, 或泄露敏感信息, 或對之進行破壞。隨著Java、
JavaScript和Active X控制項及其相應瀏覽器的大量持續推廣, 這一問題
變得更加突出和尖銳。防火牆的另一個缺點是很少有防火牆製造商推出簡
便易用的 \"監獄看守 \"型的防火牆, 大多數的產品還停留在需要網路管
理員手工建立的水平上。當然, 這一方面馬上會出現重大的變化。 盡管
存在這些爭議, 防火牆的擁護者和批評者都承認, 防火牆不能替代牆內的
謹慎的安全措施。防火牆在當今Internet世界中的存在是有生命力的。它
是一些對高級別的安全性有迫切要求的機構出於實用的原因建造起來的,
因此, 它不是解決所有網路安全問題的萬能葯方, 而只是網路安全政策和
策略中的一個組成部分。

⑷ 防火牆是什麼有什麼作用

防火牆的作用是：
防火牆是指設置在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。它可通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網路內部的信息、結構和運行狀況，以此來實現網路的安全保護。
在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網路的安全。

⑸ 一般伺服器所用的防火牆是什麼

一般伺服器都是使用的硬體防火牆，不過有段殺毒廠商也出品了軟體防火牆。

各大殺毒廠商都有真對企業的伺服器的防火牆。個人防火牆在伺服器上裝了是裝不進去，或者沒有效果的。

⑹ 什麼叫防火牆

防火牆（Firewall），也稱防護牆，是由Check Point創立者Gil Shwed於1993年發明並引入國際互聯網（US5606668（A）1993-12-15）。它是一種位於內部網路與外部網路之間的網路安全系統。一項信息安全的防護系統，依照特定的規則，允許或是限制傳輸的數據通過。
1.什麼是防火牆
XP系統相比於以往的Windows系統新增了許多的網路功能（Windows 7的防火牆一樣很強大，可以很方便地定義過濾掉數據包），例如Internet連接防火牆（ICF），它就是用一段"代碼牆"把電腦和Internet分隔開，時刻檢查出入防火牆的所有數據包，決定攔截或是放行那些數據包。防火牆可以是一種硬體、固件或者軟體，例如專用防火牆設備就是硬體形式的防火牆，包過濾路由器是嵌有防火牆固件的路由器，而代理伺服器等軟體就是軟體形式的防火牆。
2.ICF工作原理
ICF被視為狀態防火牆，狀態防火牆可監視通過其路徑的所有通訊，並且檢查所處理的每個消息的源和目標地址。為了防止來自連接公用端的未經請求的通信進入專用端，ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中，ICF將跟蹤源自該計算機的通信。與ICS一起使用時，ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網路計算機的通信。所有Internet傳入通信都會針對於該表中的各項進行比較。只有當表中有匹配項時（這說明通訊交換是從計算機或專用網路內部開始的），才允許將傳入Internet通信傳送給網路中的計算機。
源自外部源ICF計算機的通訊（如Internet）將被防火牆阻止，除非在「服務」選項卡上設置允許該通訊通過。ICF不會向你發送活動通知，而是靜態地阻止未經請求的通訊，防止像埠掃描這樣的常見黑客襲擊。
3.防火牆的種類
防火牆從誕生開始，已經歷了四個發展階段：基於路由器的防火牆、用戶化的防火牆工具套、建立在通用操作系統上的防火牆、具有安全操作系統的防火牆。常見的防火牆屬於具有安全操作系統的防火牆，例如NETEYE、NETSCREEN、TALENTIT等。從結構上來分，防火牆有兩種：即代理主機結構和路由器+過濾器結構從原理上來分，防火牆則可以分成4種類型：特殊設計的硬體防火牆、數據包過濾型、電路層網關和應用級網關。安全性能高的防火牆系統都是組合運用多種類型防火牆，構築多道防火牆「防禦工事」。

⑺ 什麼是防火牆

過去很長一段時期里，房屋都是磚木結構甚至是茅屋。如果一家失火，四鄰也會跟著遭殃，所以，為安全起見，古人就在自己居住地周圍修築高高的圍牆，以阻擋外來的火勢，保護自身的安全，這種牆就叫防火牆。

如今，網路系統不僅把系統內部的計算機緊密聯系在一起，還進行網間連接。特別是網際網路，它把世界各地的計算機系統都緊密地連接在一起。因此，如果不嚴加防衛，一旦網路受到敵方或「黑客」們的攻擊，就會出現不堪設想的後果。

在互聯網上，人們採用類似防火牆的方法，保護網路資源不受侵害。具有這種功能的設備就稱為「防火牆」。防火牆是一種中間隔離系統，插在內部網與互聯網之間，作為兩者之間的阻塞關卡，起到加強安全與審計的功能。

建立防火牆的目的是保護自己的網路不受外來攻擊，為此需要確定哪些類型的信息允許通過防火牆，而哪些不允許通過，這就是「防火牆安全策略問題」。

目前主要有兩種截然不同的安全策略：一種是拒絕一切未被特許的東西進入內部網；另一種是允許一切未被拒絕的東西進入。從網路安全性的角度來看，前者嚴格，它的意思就是：除了被確認是可信任的信息外，其他都不允許進來，但這樣可能影響互聯性；而後者寬松，它的意思就是：除了被確認是不可信任的信息來源以外都可以進內部網路，這有利於信息交互，但可能存在安全隱患。

採用哪種安全策略的防火牆，取決於網路自身條件和環境。要在對自己網路進行安全分析、風險評估和商業需求分析基礎上確定安全策略，採用相應的防火牆。

但是，防火牆和實際生活中採取的各種消防措施一樣，只能最大限度地減少災害，而不能消滅災害。近來，網際網路上的「黑客」攻擊程序大量出現，這些「黑客」攻擊程序以正常文件為載體，以病毒方式傳播，突破了防火牆系統針對「黑客」攻擊程序採取的防衛措施，巧妙地潛入並隱蔽在系統內部，開設後門，與外部「黑客」進行「里應外合」。之所以產生這種情況，是因為網路防火牆技術有一定的局限性。

當前的防火牆技術的局限性主要表現為：

1．由於防火牆對信息流進行過濾的基本依據是網路主機的源地址和目的地址，而這種主機地址比較容易偽造，且如果同一地址中有多個用戶，防火牆也無法進行區分。

2．由於防火牆只對地址進行判別，沒有雙向身份鑒別，因而給偽造伺服器提供機會。

3．防火牆對訪問的控制是粗略的，不能管理信息流的傳輸進程。

4．防火牆的物理結構是防外不防內的，它不能防止來自內部的攻擊，對進了網的用戶的操作和訪問缺乏審計能力。

因此，要更好地保證網路安全，除不斷改進防火牆技術外，還要使用各種加密技術、身份鑒別技術，注重認證和授權，並加強管理，才能使網路系統有一個良好的安全的環境，確保本系統的信息財富不遭盜竊和破壞。

知識點

邏輯炸彈

邏輯炸彈是一種程序，或任何部分的程序，這是冬眠，直到一個具體作品的程序邏輯被激活而打亂所有的程序，造成程序的癱瘓並出現物理損壞。因為它的影響像突爆的炸彈，因此有了此名。「邏輯炸彈」引發時的症狀與某些病毒的作用結果相似，並會對社會引發連帶性的災難。與病毒相比，它強調破壞作用本身，而實施破壞的程序不具有傳染性。在這樣一個邏輯炸彈是非常類似的一個真實世界的地雷。最常見的激活一個邏輯炸彈是一個日期。該邏輯炸彈檢查系統日期，並沒有什麼，直到預先編程的日期和時間是達成共識。在這一點上，邏輯炸彈被激活並執行它的代碼。

⑻ 什麼是防火牆

防火牆是一個位於內部網路與 Internet 之間的網路安全系統，是按照一定的安全策略建立起來的硬體和(或)軟體的有機組成體，以防止黑客的攻擊，保護內部網路的安全運行。防火牆可以被安全在一個單獨的路由器中，用來過濾不想要的信息包，也可以被安裝在路由器和主機中，發揮更大的網路安全保護作用。防火牆被廣泛用來讓用戶在一個安全屏障後接入互聯網，還被用來把一家企業的公共網路伺服器和企業內部網路隔開。另外，防火牆還可以被用來保護企業內部網路某一個部分的安全。例如，一個研究或者會計子網可能很容易受到來自企業內部網路裡面的窺探。

⑼ 防火牆到底是什麼呢

防火牆簡介

防火牆簡介
防火牆是一類防範措施的總稱，它使得內部網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。防火牆簡單的可以只用路由器實現，復雜的可以用主機甚至一個子網來實現。設置防火牆目的都是為了在內部網與外部網之間設立唯一的通道，簡化網路的安全管理。
防火牆的功能有：
1、過濾掉不安全服務和非法用戶
2、控制對特殊站點的訪問
3、提供監視Internet安全和預警的方便端點
由於互連網的開放性，有許多防範功能的防火牆也有一些防範不到的地方：
1、防火牆不能防範不經由防火牆的攻擊。例如，如果允許從受保護網內部不受限制的向外撥號，一些用戶可以形成與Internet的直接的連接，從而繞過防火牆，造成一個潛在的後門攻擊渠道。
2、防火牆不能防止感染了病毒的軟體或文件的傳輸。這只能在每台主機上裝反病毒軟體。
3、防火牆不能防止數據驅動式攻擊。當有些表面看來無害的數據被郵寄或復制到Internet主機上並被執行而發起攻擊時，就會發生數據驅動攻擊。
因此，防火牆只是一種整體安全防範政策的一部分。這種安全政策必須包括公開的、以便用戶知道自身責任的安全准則、職員培訓計劃以及與網路訪問、當地和遠程用戶認證、撥出撥入呼叫、磁碟和數據加密以及病毒防護的有關政策。
防火牆的特點
一般防火牆具備以下特點：
1、廣泛的服務支持：通過將動態的、應用層的過濾能力和認證相結合，可實現WWW瀏覽器、HTTP伺服器、 FTP等；
2、對私有數據的加密支持：保證通過Internet進行虛擬私人網路和商務活動不受損壞；
3、客戶端認證只允許指定的用戶訪問內部網路或選擇服務：企業本地網與分支機構、商業夥伴和移動用戶間安全通信的附加部分；
4、反欺騙：欺騙是從外部獲取網路訪問權的常用手段，它使數據包好似來自網路內部。防火牆能監視這樣的數據包並能扔掉它們；
5、C/S模式和跨平台支持：能使運行在一平台的管理模塊控制運行在另一平台的監視模塊。
實現防火牆的技術
防火牆的實現從層次上大體上可以分兩種：報文過濾和應用層網關。
報文過濾是在IP層實現的，因此，它可以只用路由器完成。報文過濾根據報文的源IP地址、目的IP地址、源埠、目的埠及報文傳遞方向等報頭信息來判斷是否允許報文通過。現在也出現了一種可以分析報文數據區內容的智能型報文過濾器。
報文過濾器的應用非常廣泛，因為CPU用來處理報文過濾的時間可以忽略不計。而且這種防護措施對用戶透明，合法用戶在進出網路時，根本感覺不到它的存在，使用起來很方便。報文過濾另一個也是很關鍵的弱點是不能在用戶級別上進行過濾，即不能識別不同的用戶和防止IP地址的盜用。如果攻擊者把自己主機的IP地址設成一個合法主機的IP地址，就可以很輕易地通過報文過濾器。
報文過濾的弱點可以用應用層網關解決。在應用層實現防火牆，方式多種多樣，下面是幾種應用層防火牆的設計實現。
1、應用代理伺服器（Application Gateway Proxy）
在網路應用層提供授權檢查及代理服務。當外部某台主機試圖訪問受保護網路時，必須先在防火牆上經過身份認證。通過身份認證後，防火牆運行一個專門為該網路設計的程序，把外部主機與內部主機連接。在這個過程中，防火牆可以限制用戶訪問的主機、訪問時間及訪問的方式。同樣，受保護網路內部用戶訪問外部網時也需先登錄到防火牆上，通過驗證後，才可訪問。
應用網關代理的優點是既可以隱藏內部IP地址，也可以給單個用戶授權，即使攻擊者盜用了一個合法的IP地址，也通不過嚴格的身份認證。因此應用網關比報文過濾具有更高的安全性。但是這種認證使得應用網關不透明，用戶每次連接都要受到認證，這給用戶帶來許多不便。這種代理技術需要為每個應用寫專門的程序。
2、迴路級代理伺服器
即通常意義的代理伺服器，它適用於多個協議，但不能解釋應用協議，需要通過其他方式來獲得信息，所以，迴路級代理伺服器通常要求修改過的用戶程序。
套接字伺服器（Sockets Server）就是迴路級代理伺服器。套接字(Sockets)是一種網路應用層的國際標准。當受保護網路客戶機需要與外部網交互信息時，在防火牆上的套伺服器檢查客戶的User ID、IP源地址和IP目的地址，經過確認後，套伺服器才與外部的伺服器建立連接。對用戶來說，受保護網與外部網的信息交換是透明的，感覺不到防火牆的存在，那是因為網路用戶不需要登錄到防火牆上。但是客戶端的應用軟體必須支持 「Socketsified API」，受保護網路用戶訪問公共網所使用的IP地址也都是防火牆的IP地址。
3、代管伺服器
代管伺服器技術是把不安全的服務如FTP、Telnet等放到防火牆上，使它同時充當伺服器，對外部的請求作出回答。與應用層代理實現相比，代管伺服器技術不必為每種服務專門寫程序。而且，受保護網內部用戶想對外部網訪問時，也需先登錄到防火牆上，再向外提出請求，這樣從外部網向內就只能看到防火牆，從而隱藏了內部地址，提高了安全性。
4、IP通道（IP Tunnels）
如果一個大公司的兩個子公司相隔較遠，通過Internet通信。這種情況下，可以採用IP Tunnels來防止Internet上的黑客截取信息，從而在Internet上形成一個虛擬的企業網。
5、網路地址轉換器(NAT Network Address Translate)
當受保護網連到Internet上時，受保護網用戶若要訪問Internet，必須使用一個合法的IP地址。但由於合法Internet IP地址有限，而且受保護網路往往有自己的一套IP地址規劃（非正式IP地址）。網路地址轉換器就是在防火牆上裝一個合法IP地址集。當內部某一用戶要訪問Internet時，防火牆動態地從地址集中選一個未分配的地址分配給該用戶，該用戶即可使用這個合法地址進行通信。同時，對於內部的某些伺服器如Web伺服器，網路地址轉換器允許為其分配一個固定的合法地址。外部網路的用戶就可通過防火牆來訪問內部的伺服器。這種技術既緩解了少量的IP地址和大量的主機之間的矛盾，又對外隱藏了內部主機的IP地址，提高了安全性。
6、隔離域名伺服器（Split Domain Name Server ）
這種技術是通過防火牆將受保護網路的域名伺服器與外部網的域名伺服器隔離，使外部網的域名伺服器只能看到防火牆的IP地址，無法了解受保護網路的具體情況，這樣可以保證受保護網路的IP地址不被外部網路知悉。
7、郵件技術（Mail Forwarding）
當防火牆採用上面所提到的幾種技術使得外部網路只知道防火牆的IP地址和域名時，從外部網路發來的郵件，就只能送到防火牆上。這時防火牆對郵件進行檢查，只有當發送郵件的源主機是被允許通過的，防火牆才對郵件的目的地址進行轉換，送到內部的郵件伺服器，由其進行轉發。
防火牆的體系結構及組合形式
1、屏蔽路由器（Screening Router）
這是防火牆最基本的構件。它可以由廠家專門生產的路由器實現，也可以用主機來實現。屏蔽路由器作為內外連接的唯一通道，要求所有的報文都必須在此通過檢查。路由器上可以裝基於IP層的報文過濾軟體，實現報文過濾功能。許多路由器本身帶有報文過濾配置選項，但一般比較簡單。
單純由屏蔽路由器構成的防火牆的危險帶包括路由器本身及路由器允許訪問的主機。它的缺點是一旦被攻陷後很難發現，而且不能識別不同的用戶。
2、雙穴主機網關（Dual Homed Gateway）
這種配置是用一台裝有兩塊網卡的堡壘主機做防火牆。兩塊網卡各自與受保護網和外部網相連。堡壘主機上運行著防火牆軟體，可以轉發應用程序，提供服務等。
雙穴主機網關優於屏蔽路由器的地方是：堡壘主機的系統軟體可用於維護系統日誌、硬體拷貝日誌或遠程日誌。這對於日後的檢查很有用。但這不能幫助網路管理者確認內網中哪些主機可能已被黑客入侵。
雙穴主機網關的一個致命弱點是：一旦入侵者侵入堡壘主機並使其只具有路由功能，則任何網上用戶均可以隨便訪問內網。
3、被屏蔽主機網關（Screened Host Gateway）
屏蔽主機網關易於實現也很安全，因此應用廣泛。例如，一個分組過濾路由器連接外部網路，同時一個堡壘主機安裝在內部網路上，通常在路由器上設立過濾規則，並使這個堡壘主機成為從外部網路唯一可直接到達的主機，這確保了內部網路不受未被授權的外部用戶的攻擊。
如果受保護網是一個虛擬擴展的本地網，即沒有子網和路由器，那麼內網的變化不影響堡壘主機和屏蔽路由器的配置。危險帶限制在堡壘主機和屏蔽路由器。網關的基本控制策略由安裝在上面的軟體決定。如果攻擊者設法登錄到它上面，內網中的其餘主機就會受到很大威脅。這與雙穴主機網關受攻擊時的情形差不多。
4、被屏蔽子網 （Screened Subnet）
這種方法是在內部網路和外部網路之間建立一個被隔離的子網，用兩台分組過濾路由器將這一子網分別與內部網路和外部網路分開。在很多實現中，兩個分組過濾路由器放在子網的兩端，在子網內構成一個「非軍事區」DMZ。有的屏蔽子網中還設有一堡壘主機作為唯一可訪問點，支持終端交互或作為應用網關代理。這種配置的危險帶僅包括堡壘主機、子網主機及所有連接內網、外網和屏蔽子網的路由器。
如果攻擊者試圖完全破壞防火牆，他必須重新配置連接三個網的路由器，既不切斷連接又不要把自己鎖在外面，同時又不使自己被發現，這樣也還是可能的。但若禁止網路訪問路由器或只允許內網中的某些主機訪問它，則攻擊會變得很困難。在這種情況下，攻擊者得先侵入堡壘主機，然後進入內網主機，再返回來破壞屏蔽路由器，整個過程中不能引發警報。
建造防火牆時，一般很少採用單一的技術，通常是多種解決不同問題的技術的組合。這種組合主要取決於網管中心向用戶提供什麼樣的服務，以及網管中心能接受什麼等級風險。採用哪種技術主要取決於經費，投資的大小或技術人員的技術、時間等因素。一般有以下幾種形式：
1、使用多堡壘主機；
2、合並內部路由器與外部路由器；
3、合並堡壘主機與外部路由器；
4、合並堡壘主機與內部路由器；
5、使用多台內部路由器；
6、使用多台外部路由器；
7、使用多個周邊網路；
8、使用雙重宿主主機與屏蔽子網。