防火牆

詳細解釋

所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的邊界上構造的保護屏障。是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體。該計算機流入流出的所有網路通信和數據包均要經過此防火牆。

在網路中，所謂“防火牆”，是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網路，同時將你“不同意”的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

什麼是防火牆

XP系統相比於以往的Windows系統新增了許多的網路功能（Windows 7的防火牆一樣很強大，可以很方便地定義過濾掉數據包），例如Internet連接防火牆（ICF），它就是用一段"代碼牆"把電腦和Internet分隔開，時刻檢查出入防火牆的所有數據包，決定攔截或是放行那些數據包。防火牆可以是一種硬體、固件或者軟體，例如專用防火牆設備就是硬體形式的防火牆，包過濾路由器是嵌有防火牆固件的路由器，而代理伺服器等軟體就是軟體形式的防火牆。

ICF工作原理

ICF被視為狀態防火牆，狀態防火牆可監視通過其路徑的所有通訊，並且檢查所處理的每個消息的源和目標地址。為了防止來自連接公用端的未經請求的通信進入專用端，ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中，ICF將跟蹤源自該計算機的通信。與ICS一起使用時，ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網路計算機的通信。所有Internet傳入通信都會針對於該表中的各項進行比較。只有當表中有匹配項時（這說明通訊交換是從計算機或專用網路內部開始的），才允許將傳入Internet通信傳送給網路中的計算機。源自外部源ICF計算機的通訊（如Internet）將被防火牆阻止，除非在“服務”選項卡上設置允許該通訊通過。ICF不會向你發送活動通知，而是靜態地阻止未經請求的通訊，防止像埠掃描這樣的常見黑客襲擊。

防火牆的種類

防火牆從誕生開始，已經歷了四個發展階段：基於路由器的防火牆、用戶化的防火牆工具套、建立在通用操作系統上的防火牆、具有安全操作系統的防火牆。常見的防火牆屬於具有安全操作系統的防火牆，例如NETEYE、NETSCREEN、TALENTIT等。

從結構上來分，防火牆有兩種：即代理主機結構和路由器+過濾器結構，后一種結構如下所示：內部網路過濾器（Filter）路由器（Router）Internet。從原理上來分，防火牆則可以分成4種類型：特殊設計的硬體防火牆、數據包過濾型、電路層網關和應用級網關。安全性能高的防火牆系統都是組合運用多種類型防火牆，構築多道防火牆“防禦工事”。

吞吐量

網路中的數據是由一個個數據包組成，防火牆對每個數據包的處理要耗費資源。吞吐量是指在沒有幀丟失的情況下，設備能夠接受的最大速率。其測試方法是：在測試中以一定速率發送一定數量的幀，並計算待測設備傳輸的幀，如果發送的幀與接收的幀數量相等，那麼就將發送速率提高並重新測試；如果接收幀少於發送幀則降低發送速率重新測試，直至得出最終結果。吞吐量測試結果以比特/秒或位元組/秒表示。

吞吐量和報文轉發率是關係防火牆應用的主要指標，一般採用FDT（Full Duplex Throughput）來衡量，指64位元組數據包的全雙工吞吐量，該指標既包括吞吐量指標也涵蓋了報文轉發率指標。

防火牆是現代網路安全防護技術中的重要構成內容，可以有效地防護外部的侵擾與影響。隨著網路技術手段的完善，防火牆技術的功能也在不斷地完善，可以實現對信息的過濾，保障信息的安全性。防火牆就是一種在內部與外部網路的中間過程中發揮作用的防禦系統，具有安全防護的價值與作用，通過防火牆可以實現內部與外部資源的有效流通，及時處理各種安全隱患問題，進而提升了信息數據資料的安全性。防火牆技術具有一定的抗攻擊能力，對於外部攻擊具有自我保護的作用，隨著計算機技術的進步防火牆技術也在不斷發展。

過濾型防火牆是在網路層與傳輸層中，可以基於數據源頭的地址以及協議類型等標誌特徵進行分析，確定是否可以通過。在符合防火牆規定標準之下，滿足安全性能以及類型才可以進行信息的傳遞，而一些不安全的因素則會被防火牆過濾、阻擋。

應用代理防火牆主要的工作範圍就是在OSI的最高層，位於應用層之上。其主要的特徵是可以完全隔離網路通信流，通過特定的代理程序就可以實現對應用層的監督與控制。這兩種防火牆是應用較為普遍的防火牆，其他一些防火牆應用效果也較為顯著，在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的類型，這樣才可以有效地避免防火牆的外部侵擾等問題的出現。

截至2018年應用較為廣泛的防火牆技術當屬複合型防火牆技術，綜合了包過濾防火牆技術以及應用代理防火牆技術的優點，譬如發過來的安全策略是包過濾策略，那麼可以針對報文的報頭部分進行訪問控制；如果安全策略是代理策略，就可以針對報文的內容數據進行訪問控制，因此複合型防火牆技術綜合了其組成部分的優點，同時摒棄了兩種防火牆的原有缺點，大大提高了防火牆技術在應用實踐中的靈活性和安全性。

網路層防火牆可視為一種 IP 封包過濾器，運作在底層的TCP/IP協議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆（病毒除外，防火牆不能防止病毒侵入）。這些規則通常可以經由管理員定義或修改，不過某些防火牆設備可能只能套用內置的規則。

我們也能以另一種較寬鬆的角度來制定防火牆規則，只要封包不符合任何一項“否定規則”就予以放行。操作系統及網路設備大多已內置防火牆功能。

較新的防火牆能利用封包的多樣屬性來進行過濾，例如：來源 IP地址、來源埠號、目的 IP 地址或埠號、服務類型（如 HTTP 或是 FTP）。也能經由通信協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

應用層防火牆是在 TCP/IP 堆棧的“應用層”上運作，您使用瀏覽器時所產生的數據流或是使用FTP 時的數據流都是屬於這一層。應用層防火牆可以攔截進出某應用程序的所有封包，並且封鎖其他的封包（通常是直接將封包丟棄）。理論上，這一類的防火牆可以完全阻絕外部的數據流進到受保護的機器里。

防火牆藉由監測所有的封包並找出不符規則的內容，可以防範電腦蠕蟲或是木馬程序的快速蔓延。不過就實現而言，這個方法既煩且雜（軟體有千千百百種啊），所以大部分的防火牆都不會考慮以這種方法設計。

XML 防火牆是一種新型態的應用層防火牆。

根據側重不同，可分為：包過濾型防火牆、應用層網關型防火牆、伺服器型防火牆。

資料庫防火牆是一款基於資料庫協議分析與控制技術的資料庫安全防護系統。基於主動防禦機制，實現資料庫的訪問行為控制、危險操作阻斷、可疑行為審計。

資料庫防火牆通過SQL協議分析，根據預定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規操作，形成資料庫的外圍防禦圈，實現SQL危險操作的主動預防、實時審計。

資料庫防火牆面對來自於外部的入侵行為，提供SQL注入禁止和資料庫虛擬補丁包功能。

（一）內部網路和外部網路之間的所有網路數據流都必須經過防火牆

這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道，才可以全面、有效地保護企業網內部網路不受侵害。

根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和網際網路之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網路的服務和訪問的審計和控制。

典型的防火牆體系網路結構如下圖所示。從圖中可以看出，防火牆的一端連接企事業單位內部的區域網，而另一端則連接著網際網路。所有的內、外部網路之間的通信都要經過防火牆。

（二）只有符合安全策略的數據流才能通過防火牆

防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台“雙穴主機”，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。

（三）防火牆自身應具有非常強的抗攻擊免疫力

這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關係的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。

目前國內的防火牆幾乎被國外的品牌佔據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、山石網科、網御神州、聯想、方正等，它們都提供不同級別的防火牆產品。

（四）應用層防火牆具備更細緻的防護能力

自從Gartner提出下一代防火牆概念以來，信息安全行業越來越認識到應用層攻擊成為當下取代傳統攻擊，最大程度危害用戶的信息安全，而傳統防火牆由於不具備區分埠和應用的能力，以至於傳統防火牆僅僅只能防禦傳統的攻擊，基於應用層的攻擊則毫無辦法。

從2011年開始，國內廠家通過多年的技術積累，開始推出下一代防火牆，在國內從第一家推出真正意義的下一代防火牆的網康科技開始，至今包擴東軟，天融信等在內的傳統防火牆廠商也開始相互效仿，陸續推出了下一代防火牆，下一代防火牆具備應用層分析的能力，能夠基於不同的應用特徵，實現應用層的攻擊過濾，在具備傳統防火牆、IPS、防毒等功能的同時，還能夠對用戶和內容進行識別管理，兼具了應用層的高性能和智能聯動兩大特性，能夠更好的針對應用層攻擊進行防護。

（五）資料庫防火牆針對資料庫惡意攻擊的阻斷能力

虛擬補丁技術：針對CVE公布的資料庫漏洞，提供漏洞特徵檢測技術。

高危訪問控制技術：提供對資料庫用戶的登錄、操作行為，提供根據地點、時間、用戶、操作類型、對象等特徵定義高危訪問行為。

SQL注入禁止技術：提供SQL注入特徵庫。

返回行超標禁止技術：提供對敏感表的返回行數控制。

SQL黑名單技術：提供對非法SQL的語法抽象描述。

代理服務設備（可能是一台專屬的硬體，或只是普通機器上的一套軟體）也能像應用程序一樣回應輸入封包（例如連接要求），同時封鎖其他的封包，達到類似於防火牆的效果。

代理使得由外在網路竄改一個內部系統更加困難，並且一個內部系統誤用不一定會導致一個安全漏洞可從防火牆外面（只要應用代理剩下的原封和適當地被配置）被入侵。相反地，入侵者也許劫持一個公開可及的系統和使用它作為代理人為他們自己的目的；代理人然後偽裝作為那個系統對其它內部機器。當對內部地址空間的用途加強安全，破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網路。

防火牆經常有網路地址轉換（NAT）的功能，並且主機被保護在防火牆之後共同地使用所謂的“私人地址空間”，依照被定義在[RFC 1918] 。管理員經常設置了這樣的情節：假裝內部地址或網路是安全的。

防火牆的適當的配置要求技巧和智能。它要求管理員對網路協議和電腦安全有深入的了解。因小差錯可使防火牆不能作為安全工具。

徠（1）防火牆能強化安全策略。

（2）防火牆能有效地記錄Internet上的活動。

（3）防火牆限制暴露用戶點。防火牆能夠用來隔開網路中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網路傳播。

（4）防火牆是一個安全策略的檢查站。所有進出的信息都必須通過防火牆，防火牆便成為安全問題的檢查點，使可疑的訪問被拒絕於門外。

一、所有的防火牆文件規則必須更改。

儘管這種方法聽起來很容易，但是由於防火牆沒有內置的變動管理流程，因此文件更改對於許多企業來說都不是最佳的實踐方法。如果防火牆管理員因為突發情況或者一些其他形式的業務中斷做出更改，那麼他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協議更改，會導致宕機嗎？這是一個相當高發的狀況。

防火牆管理產品的中央控制台能全面可視所有的防火牆規則基礎，因此團隊的所有成員都必須達成共識，觀察誰進行了何種更改。這樣就能及時發現並修理故障，讓整個協議管理更加簡單和高效。

二、以最小的許可權安裝所有的訪問規則。

另一個常見的安全問題是許可權過度的規則設置。防火牆規則是由三個域構成的：即源（IP地址），目的地（網路/子網路）和服務（應用軟體或者其他目的地）。為了確保每個用戶都有足夠的埠來訪問他們所需的系統，常用方法是在一個或者更多域內指定打來那個的目標對象。當你出於業務持續性的需要允許大範圍的IP地址來訪問大型企業的網路，這些規則就會變得許可權過度釋放，因此就會增加不安全因素。服務域的規則是開放65535個TCP埠的ANY。防火牆管理員真的就意味著為黑客開放了65535個攻擊矢量？

三、根據法規協議和更改需求來校驗每項防火牆的更改。

在防火牆操作中，日常工作都是以尋找問題，修正問題和安裝新系統為中心的。在安裝最新防火牆規則來解決問題，應用新產品和業務部門的過程中，我們經常會遺忘防火牆也是企業安全協議的物理執行者。每項規則都應該重新審核來確保它能符合安全協議和任何法規協議的內容和精神，而不僅是一篇法律條文。

四、當服務過期后從防火牆規則中刪除無用的規則。

規則膨脹是防火牆經常會出現的安全問題，因為多數運作團隊都沒有刪除規則的流程。業務部門擅長讓你知道他們了解這些新規則，卻從來不會讓防火牆團隊知道他們不再使用某些服務了。了解退役的伺服器和網路以及應用軟體更新周期對於達成規則共識是個好的開始。運行無用規則的報表是另外一步。黑客喜歡從來不刪除規則的防火牆團隊。

五、每年至少對防火牆完整的審核兩次。

如果你是名信用卡活動頻繁的商人，那麼除非必須的話這項不是向你推薦的最佳實踐方法，因為支付卡行業標準1.1.6規定至少每隔半年要對防火牆進行一次審核。

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等。

防火牆最基本的功能就是控制在計算機網路中，不同信任程度區域間傳送的數據流。例如網際網路是不可信任的區域，而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信，與建築中的防火牆功能相似。它有控制信息基本的任務在不同信任的區域。典型信任的區域包括網際網路（一個沒有信任的區域）和一個內部網路（一個高信任的區域）。最終目標是提供受控連通性在不同水平的信任區域通過安全政策的運行和連通性模型之間根據最少特權原則。

例如：TCP/IPPort 135~139是Microsoft Windows的【網上鄰居】所使用的。如果計算機有使用【網上鄰居】的【共享文件夾】，又沒使用任何防火牆相關的防護措施的話，就等於把自己的【共享文件夾】公開到Internet，供不特定的任何人有機會瀏覽目錄內的文件。且早期版本的Windows有【網上鄰居】系統溢出的無密碼保護的漏洞（這裡是指【共享文件夾】有設密碼，但可經由此系統漏洞，達到無須密碼便能瀏覽文件夾的需求）。

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

強化網路安全策略

通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完可以不必分散在各個主機上，而集中在防火牆一身上。

監控網路存取和訪問

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的註冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。

實現資料庫安全的實時防護

資料庫防火牆通過SQL 協議分析，根據預定義的禁止和許可策略讓合法的SQL 操作通過，阻斷非法違規操作，形成資料庫的外圍防禦圈，實現SQL 危險操作的主動預防、實時審計。

資料庫防火牆面對來自於外部的入侵行為，提供SQL 注入禁止和資料庫虛擬補丁包功能。

除了安全作用，防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。

防火牆的英文名為“FireWall”，它是一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個（或多個）網路間，實施網路之間訪問控制的一組組件集合。

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等。

防火牆最基本的功能就是控制在計算機網路中，不同信任程度區域間傳送的數據流。例如網際網路是不可信任的區域，而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信，與建築中的防火牆功能相似。它有控制信息基本的任務在不同信任的區域。典型信任的區域包括網際網路（一個沒有信任的區域）和一個內部網路（一個高信任的區域）。最終目標是提供受控連通性在不同水平的信任區域通過安全政策的運行和連通性模型之間根據最少特權原則。

例如：TCP/IPPort 135~139是Microsoft Windows的【網上鄰居】所使用的。如果計算機有使用【網上鄰居】的【共享文件夾】，又沒使用任何防火牆相關的防護措施的話，就等於把自己的【共享文件夾】公開到Internet，供不特定的任何人有機會瀏覽目錄內的文件。且早期版本的Windows有【網上鄰居】系統溢出的無密碼保護的漏洞（這裡是指【共享文件夾】有設密碼，但可經由此系統漏洞，達到無須密碼便能瀏覽文件夾的需求）。

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

防火牆在網路中經常是以兩種圖標出現的。一種圖標非常形象，真正像一堵牆一樣。而另一種圖標則是從防火牆的過濾機制來形象化的，在圖標中有一個二極體圖標。而二極體我們知道，它具有單嚮導電性，這樣也就形象地說明了防火牆具有單嚮導通性。這看起來與防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的，而對外部網路卻總是不信任的，所以最初的防火牆是只對外部進來的通信進行過濾，而對內部網路用戶發出的通信不作限制。當然防火牆在過濾機制上有所改變，不僅對外部網路發出的通信連接要進行過濾，對內部網路用戶發出的部分連接請求和數據包同樣需要過濾，但防火牆仍只對符合安全策略的通信通過，也可以說具有“單嚮導通”性。

防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這裡所講的防火牆的“安全策略”，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單嚮導通性”。

我們通常所說的網路防火牆是借鑒了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網（LAN）網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。

防火牆的硬體體系結構曾經歷過通用CPU架構、ASIC架構和網路處理器架構，他們各自的特點分別如下：

通用CPU架構

通用CPU架構最常見的是基於Intel X86架構的防火牆，在百兆防火牆中Intel X86架構的硬體以其高靈活性和擴展性一直受到防火牆廠商的青睞；由於採用了PCI匯流排介面，Intel X86架構的硬體雖然理論上能達到2Gbps的吞吐量甚至更高，但是在實際應用中，尤其是在小包情況下，遠遠達不到標稱性能，通用CPU的處理能力也很有限。

國內安全設備主要採用的就是基於X86的通用CPU架構。

ASIC架構

ASIC（Application Specific Integrated Circuit，專用集成電路）技術是國外高端網路設備幾年前廣泛採用的技術。由於採用了硬體轉發模式、多匯流排技術、數據層面與控制層面分離等技術， ASIC架構防火牆解決了帶寬容量和性能不足的問題，穩定性也得到了很好的保證。

ASIC技術的性能優勢主要體現在網路層轉發上，而對於需要強大計算能力的應用層數據的處理則不佔優勢，而且面對頻繁變異的應用安全問題，其靈活性和擴展性也難以滿足要求。

由於該技術有較高的技術和資金門檻，主要是國內外知名廠商在採用，國外主要代錶廠商是Netscreen，國內主要代錶廠商為天融信、網御神州。

網路處理器架構

由於網路處理器所使用的微碼編寫有一定技術難度，難以實現產品的最優性能，因此網路處理器架構的防火牆產品難以佔有大量的市場份額。

基於國產CPU的防火牆

隨著國內通用處理器的發展，逐漸發展了基於中國芯的防火牆，主要架構為國產龍芯2F+FPGA的協議處理器，主要應用政府、軍隊等對國家安全敏感的行業。代錶廠商有中科院計算所、博華科技等公司。

防火牆配置有三種：Dual-homed方式、Screened- host方式和Screened-subnet方式。

Dual-homed方式最簡單。 Dual-homedGateway放置在兩個網路之間，這個Dual-omedGateway又稱為bastionhost。這種結構成本低，但是它有單點失敗的問題。這種結構沒有增加網路安全的自我防衛能力，而它往往是受“黑客”攻擊的首選目標，它自己一旦被攻破，整個網路也就暴露了。

Screened-host方式中的Screeningrouter為保護Bastionhost的安全建立了一道屏障。它將所有進入的信息先送往Bastionhost，並且只接受來自Bastionhost的數據作為出去的數據。這種結構依賴Screeningrouter和Bastionhost，只要有一個失敗，整個網路就暴露了。

Screened-subnet包含兩個Screeningrouter和兩個Bastionhost。在公共網路和私有網路之間構成了一個隔離網，稱之為”停火區”（DMZ，即DemilitarizedZone）,Bastionhost放置在“停火區”內。這種結構安全性好，只有當兩個安全單元被破壞后，網路才被暴露，但是成本也很昂貴。

第一代防火牆

第一代防火牆技術幾乎與路由器同時出現，採用了包過濾（Packet filter）技術。

第二代防火牆

第一代防火牆技術主要在路由器上實現，後來將此安全功能獨立出來專門用來實現安全過濾功能。1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火牆，即電路層防火牆，同時提出了第三代防火牆——應用層防火牆（代理防火牆）的初步結構。

第三代防火牆

代理防火牆出現，原來從路由器上獨立出來的安全軟體迅速發展，並引發了對承載安全軟體本身的操作系統的安全需求。即對防火牆本身的安全問題的安全需求。

第四代防火牆

1992年，USC信息科學院的BobBraden開發出了基於動態包過濾（Dynamic packet filter）技術的第四代防火牆，後來演變為所說的狀態監視（Stateful inspection）技術。1994年，以色列的CheckPoint公司開發出了第一個採用這種技術的商業化的產品。

第五代防火牆

1998年，NAI公司推出了一種自適應代理（Adaptive proxy）技術，並在其產品Gauntlet Firewall for NT中得以實現，給代理類型的防火牆賦予了全新的意義，可以稱之為第五代防火牆。

一體化安全網關UTM

UTM統一威脅管理，在防火牆基礎上發展起來的，具備防火牆、IPS、防病毒、防垃圾郵件等綜合功能的設備。由於同時開啟多項功能會大大降低UTM的處理性能，因此主要用於對性能要求不高的中低端領域。在中低端領域，UTM已經出現了代替防火牆的趨勢，因為在不開啟附加功能的情況下，UTM本身就是一個防火牆，而附加功能又為用戶的應用提供了更多選擇。在高端應用領域，比如電信、金融等行業，仍然以專用的高性能防火牆、IPS為主流。

防火牆就是一種過濾塞（你這麼理解不算錯），你可以讓你喜歡的東西通過這個塞子，別的玩意都統統過濾掉。在網路的世界里，要由防火牆過濾的就是承載通信數據的通信包。

天下的防火牆至少都會說兩個詞：Yes或者No。直接說就是接受或者拒絕。最簡單的防火牆是乙太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆採用的技術和標準可謂五花八門。這些防火牆的形式多種多樣：有的取代系統上已經裝備的TCP/IP協議棧；有的在已有的協議棧上建立自己的軟體模塊；有的乾脆就是獨立的 一套操作系統。還有一些應用型的防火牆只對特定類型的網路連接提供保護（比如SMTP或者HTTP協議等）。還有一些基於硬體的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆，因為他們的工作方式都是一樣的：分析出入防火牆的數據包，決定放行還是把他們扔到一邊。

所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖，兩個網段之間隔了一個防火牆，防火牆的一端有台UNIX計算機，另一邊的網段則擺了台PC客戶機。

當PC客戶機向UNIX計算機發起telnet請求時，PC的telnet客戶程序就產生一個TCP包並 把它傳給本地的協議棧準備發送。接下來，協議棧將這個TCP包“塞”到一個IP包里，然後通過PC機的TCP/IP棧所定義的路徑將它發送給UNIX計算機。在這個例子里，這個IP包必須經過橫在PC和UNIX計算機中的防火牆才能到達UNIX計算機。

我們“命令”（用專業術語來說就是配製）防火牆把所有發給UNIX計算機的數據包都給拒了，完成這項工作以後，“心腸”比較好的防火牆還會通知客戶程序一聲呢！既然發向目標的IP數據沒法轉發，那麼只有和UNIX計算機同在一個網段的用戶才能訪問UNIX計算機了。

還有一種情況，你可以命令防火牆專給那台可憐的PC機找茬，別人的數據包都讓過就它不行。這正是防火牆最基本的功能：根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了，由於黑客們可以採用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的防火牆了。不過根 據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了。

伺服器TCP/UDP 埠過濾

僅僅依靠地址進行數據過濾在實際運用中是不可行的，還有個原因就是目標主機上往往運行著多種通信服務，比方說，我們不想讓用戶採用 telnet的方式連到系統，但這絕不等於我們非得同時禁止他們使用SMTP/POP郵件伺服器吧？所以說，在地址之外我們還要對伺服器的TCP/ UDP埠進行過濾。

比如，默認的telnet服務連接埠號是23。假如我們不許PC客戶機建立對UNIX計算機（在這時我們當它是伺服器）的telnet連接，那麼我們只需命令防火牆檢查發送目標是UNIX伺服器的數據包，把其中具有23目標埠號的包過濾就行了。這樣，我們把IP地址和目標伺服器TCP/UDP埠結合起來不就可以作為過濾標準來實現相當可靠的防火牆了嗎？不，沒這麼簡單。

客戶機也有TCP/UDP埠

TCP/IP是一種端對端協議，每個網路節點都具有唯一的地址。網路節點的應用層也是這樣，處於應用層的每個應用程序和服務都具有自己的對應“地址”，也就是埠號。地址和埠都具備了才能建立客戶機和伺服器的各種應用之間的有效通信聯繫。比如，telnet伺服器在埠23偵聽入站連接。同時telnet客戶機也有一個埠號，否則客戶機 的IP棧怎麼知道某個數據包是屬於哪個應用程序的呢？

由於歷史的原因，幾乎所有的TCP/IP客戶程序都使用大於1023的隨機分配埠號。只有UNIX計算機上的root用戶才可以訪問1024以下的埠，而這些埠還保留為伺服器上的服務所用。所以，除非我們讓所有具有大於1023埠號的數據包進入網路，否則各種網路連接都沒法正常工作。

這對防火牆而言可就麻煩了，如果阻塞入站的全部埠，那麼所有的客戶機都沒法使用網路資源。因為伺服器發出響應外部連接請求的入站（就是進入防火牆的意思）數據包都沒法經過防火牆的入站過濾。反過來，打開所有高於1023的埠就可行了嗎？也不盡然。由於很多服務使用的埠都大於1023，比如X client、基於RPC的NFS服務以及為數眾多的非UNIX IP產品等（NetWare/IP）就是這樣的。那麼讓達到1023埠標準的數據包都進入網路的話網路還能說是安全的嗎？連這些客戶程序都不敢說自己是足夠安全的。

雙向過濾

OK，咱們換個思路。我們給防火牆這樣下命令：已知服務的數據包可以進來，其他的全部擋在防火牆之外。比如，如果你知道用戶要訪問Web伺服器，那就只讓具有源埠號80的數據包進入網路：

不過新問題又出現了。首先，你怎麼知道你要訪問的伺服器具有哪些正在運行的埠號呢？象HTTP這樣的伺服器本來就是可以任意配置的，所採用的埠也可以隨意配置。如果你這樣設置防火牆，你就沒法訪問哪些沒採用標準埠號的的網路站點了！反過來，你也沒法保證進入網路的數據包中具有埠號80的就一定來自Web伺服器。有些黑客就是利用這一點製作自己的入侵工具，並讓其運行在本機的80埠！

檢查ACK位

源地址我們不相信，源埠也信不得了，這個不得不與黑客共舞的瘋狂世界上還有什麼值得我 們信任呢？還好，事情還沒到走投無路的地步。對策還是有的，不過這個辦法只能用於TCP協議。

TCP是一種可靠的通信協議，“可靠”這個詞意味著協議具有包括糾錯機制在內的一些特殊性質。為了實現其可靠性，每個TCP連接都要先經過一個“握手”過程來交換連接參數。還有，每個發送出去的包在後續的其他包被發送出去之前必須獲得一個確認響應。但並不是對每個TCP包都非要採用專門的ACK包來響應，實際上僅僅在TCP包頭上設置一個專門的位就可以完成這個功能了。所以，只要產生了響應包就要設置ACK位。連接會話的第一個包不用於確認，所以它就沒有設置ACK位，後續會話交換的TCP包就要設置ACK位了。

舉個例子，PC向遠端的Web伺服器發起一個連接，它生成一個沒有設置ACK位的連接請求包。當伺服器響應該請求時，伺服器就發回一個設置了ACK位的數據包，同時在包里標記從客戶機所收到的位元組數。然後客戶機就用自己的響應包再響應該數據包，這個數據包也設置了ACK位並標記了從伺服器收到的位元組數。通過監視ACK位，我們就可以將進入網路的數據限制在響應包的範圍之內。於是，遠程系統根本無法發起TCP連接但卻能響應收到的數據包了。

這套機制還不能算是無懈可擊，簡單地舉個例子，假設我們有台內部Web伺服器，那麼埠80就不得不被打開以便外部請求可以進入網路。還有，對UDP包而言就沒法監視ACK位了，因為UDP包壓根就沒有ACK位。還有一些TCP應用程序，比如FTP，連接就必須由這些伺服器程序自己發起。

FTP帶來的困難

一般的Internet服務對所有的通信都只使用一對埠號，FTP程序在連接期間則使用兩對埠號。第一對埠號用於FTP的“命令通道”提供登錄和執行命令的通信鏈路，而另一對埠號則用於FTP的“數據通道”提供客戶機和伺服器之間的文件傳送。

在通常的FTP會話過程中，客戶機首先向伺服器的埠21（命令通道）發送一個TCP連接請求，然後執行LOGIN、DIR等各種命令。一旦用戶請求伺服器發送數據，FTP伺服器就用其20埠 (數據通道)向客戶的數據埠發起連接。問題來了，如果伺服器向客戶機發起傳送數據的連接，那麼它就會發送沒有設置ACK位的數據包，防火牆則按照剛才的規則拒絕該數據包同時也就意味著數據傳送沒戲了。通常只有高級的、也就是夠聰明的防火牆才能看出客戶機剛才告訴伺服器的埠，然後才許可對該埠的入站連接。

UDP埠過濾

好了，我們回過頭來看看怎麼解決UDP問題。剛才說了，UDP包沒有ACK位所以不能進行ACK位過濾。UDP 是發出去不管的“不可靠”通信，這種類型的服務通常用於廣播、路由、多媒體等廣播形式的通信任務。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

看來最簡單的可行辦法就是不允許建立入站UDP連接。防火牆設置為只許轉發來自內部介面的UDP包，來自外部介面的UDP包則不轉發。問題是，比方說，DNS名稱解析請求就使用UDP，如果你提供DNS服務，至少得允許一些內部請求穿越防火牆。還有IRC這樣的客戶程序也使用UDP，如果要讓你的用戶使用它，就同樣要讓他們的UDP包進入網路。我們能做的就是對那些從本地到可信任站點之間的連接進行限制。但是，什麼叫可信任！如果黑客採取地址欺騙的方法不又回到老路上去了嗎？

有些新型路由器可以通過“記憶”出站UDP包來解決這個問題：如果入站UDP包匹配出站UDP包的目標地址和埠號就讓它進來。如果在內存中找不到匹配的UDP包就只好拒絕它了！但是，我們如何確信產生數據包的外部主機就是內部客戶機希望通信的伺服器呢？如果黑客詐稱DNS伺服器的地址，那麼他在理論上當然可以從附著DNS的UDP埠發起攻擊。只要你允許DNS查詢和反饋包進入網路這個問題就必然存在。辦法是採用代理伺服器。

所謂代理伺服器，顧名思義就是代表你的網路和外界打交道的伺服器。代理伺服器不允許存在任何網路內外的直接連接。它本身就提供公共和專用的DNS、郵件伺服器等多種功能。代理伺服器重寫數據包而不是簡單地將其轉發了事。給人的感覺就是網路內部的主機都站在了網路的邊緣，但實際上他們都躲在代理的後面，露面的不過是代理這個假面具。

防火牆實現了你的安全政策

1.

防火牆實現了你的安全政策

防火牆加強了一些安全策略。如果你沒有在放置防火牆之前制定安全策略的話，那麼就是制定的時候了。它可以不被寫成書面形式，但是同樣可以作為安全策略。如果你還沒有明確關於安全策略應當做什麼的話，安裝防火牆就是你能做的最好的保 護你的站點的事情，並且要隨時維護它也是很不容易的事情。要想有一個好的防火牆，你需要好的安全策略---寫成書面的並且被大家所接受。

一個防火牆在許多時候並不是一個單一的設備

1.

一個防火牆在許多時候並不是一個單一的設備

除非在特別簡單的案例中，防火牆很少是單一的設備，而是一組設備。就算你購買的是一個商用的“all-in-one”防火牆應用程序，你同樣得配置其他機器（例如你的網路伺服器）來與之一同運行。這些其他的機器被認為是防火牆的一部分，這包含了對這些機器的配置和管理方式，他們所信任的是什麼，什麼又將他們作為可信的等等。你不能簡單的選擇一個叫做“防火牆”的設備卻期望其擔負所有安全責任。

2. 防火牆並不是現成的隨時獲得的產品

選擇防火牆更像買房子而不是選擇去哪裡度假。防火牆和房子很相似，你必須每天和它待在一起，你使用它的期限也不止一兩個星期那麼多。都需要維護否則都會崩潰掉。建設防火牆需要仔細的選擇和配置一個解決方案來滿足你的需求，然後不斷的去維護它。需要做很多的決定，對一個站點是正確的解決方案往往對另外站點來說是錯誤的。

3. 防火牆並不會解決你所有的問題

並不要指望防火牆靠自身就能夠給予你安全。防火牆保護你免受一類攻擊的威脅，人們嘗試從外部直接攻擊內部。但是卻不能防止從LAN內部的攻擊，它甚至不能保護你免受所有那些它能檢測到的攻擊。

4. 使用默認的策略

正常情況下你的手段是拒絕除了你知道必要和安全的服務以外的任何服務。但是新的漏洞每天都出現，關閉不安全的服務意味著一場持續的戰爭。

5. 有條件的妥協，而不是輕易的

人們都喜歡做不安全的事情。如果你允許所有的請求的話，你的網路就會很不安全。如果你拒絕所有的請求的話，你的網路同樣是不安全的，你不會知道不安全的東西隱藏在哪裡。那些不能和你一同工作的人將會對你不利。你需要找到滿足用戶需求的方式，雖然這些方式會帶來一定量的風險。

6. 使用分層手段

並在一個地點以來單一的設備。使用多個安全層來避免某個失誤造成對你關心的問題的侵害。

7. 只安裝你所需要的

防火牆機器不能像普通計算機那樣安裝廠商提供的全部軟體分發。作為防火牆一部分的機器必須保持最小的安裝。即使你認為有些東西是安全的也不要在你不需要的時候安裝它。

8. 使用可以獲得的所有資源

不要建立基於單一來源的信息的防火牆，特別是該資源不是來自廠商。有許多可以利用的資源：例如廠商信息，我們所編寫的書，郵件組，和網站。

9. 只相信你能確定的

不要相信圖形界面的手工和對話框或是廠商關於某些東西如何運行的聲明，檢測來確定應當拒絕的連接都拒絕了。檢測來確定應當允許的連接都允許了。

10. 不斷的重新評價決定

你買的房子今天可能已經不適合你了。同樣的，你一年以前所安裝的防火牆對於你現在的情況已經不是最好的解決方案了。對於防火牆你應當經常性的評估你的決定並確認你仍然有合理的解決方案。更改你的防火牆，就像搬新家一樣，需要明顯的努力和仔細的計劃。

11. 要對失敗有心理準備

做好最壞的心理準備。防火牆不是萬能的，對一些新出現的病毒和木馬可能沒有反映，要時常的更新。機器可能會停止運行，動機良好的用戶可能會做錯事情，有惡意動機的用戶可能做壞的事情並成功的打敗你。但是一定要明白當這些事情發生的時候這並不是一個完全的災難，因為病毒發展迅速，而且品種繁多，防火牆不可能全部都能阻攔，所以要做好最壞的心理準備的同時還要為下一步預防做好打算，加強自身的安全防護。

Online Armor Free 4.0.0.35-免費版本

Malware Defender 2.6.0-國產防火牆

Kaspersky Internet Security 2010 9.0.0.736

Privatefirewall 7.0.20.36-免費版本

Outpost Firewall Free 2009 6.5.1.2725.381.0687-免費版本

ZoneAlarm Extreme Security 9.1.008.000

Norton Internet Security 2010 17.5.0.127

Jetico Personal Firewall 2.1.0.7.2412

BitDefender Internet Security 2010 13.0.19.347

Trend Micro Internet Security Pro 2010 17.50.1647.0000

avast! Internet Security 5.0.418.0

McAfee Internet Security 2010 11.0.378

Panda Internet Security 2010 15.01.00

1、如何關閉windows防火牆

a：打開“開始”菜單，“運行”輸入control命令打開控制面板；

b：在控制面板中找到“防火牆”圖標雙擊打開；

c：選擇“關閉（不推薦）”並確定即可關閉防火牆。

2、如何打開windows防火牆

只需將關閉防火牆的第三步改成“啟用（推薦）”即可開啟示windows防火牆。

必須具有豐富的應用識別，才能確保安全策略更精細，更可視。

動態更新的應用識別技術。隨著網路應用的快速增長，基於各種協議的網路應用日趨增加，新一代防火牆必須能夠依據協議特點識別各種網路應用和網路動作，並且內置到防火牆內部且應用和動作的識別可以動態更新。

用戶識別技術。可以根據用戶類型、用戶部門、用戶許可權、IP組等不同分類對網路用戶進行分類，使每一類用戶有不同的網路許可權。同時應該與AD和RADIUS、單點登錄、智能卡等結合完善接入用戶的認證。

全面的內容防護至少要包括漏洞掃描、WEB防護、內容過濾三個內容。漏洞掃描要能發現對操作系統、應用系統、網路協議、用戶設備漏洞的防護，對利用漏洞進行的攻擊進行阻斷。WEB防護功能應包括網站攻擊防護、應用隱藏、口令保護和許可權控制。內容過濾功能應該能顯現對關鍵字、URL集、病毒、木馬、惡意控制項/腳本的過濾。

如果使用傳統的硬體架構方式對報文進行處理，不僅對硬體要求高，同時應用層報文處理會大量佔用設備資源，很難突破千兆處理。必須對防火牆進行新架構設計，拋棄了傳統防火牆NP、ASIC等適合執行網路層重複計算工作的硬體設計，採用了更加適合應用層靈活計算能力的多核并行處理技術；在系統架構上也要放棄了UTM多引擎，多次解析的架構，需要採用了更為先進的一體化單次解析引擎，將漏洞、病毒、Web攻擊、惡意代碼/腳本、URL庫等眾多應用層威脅統一進行檢測匹配，能夠一次對報文實現從網路層到應用層的解析，達到萬兆處理能力。

通過本章的分析，設計網路安全、可視化應用管控、全面應用安全三個大項部署未來防火牆框架。

防火牆是好，但是，若選擇不當的話，可能會起到相反的作用。在這裡，筆者想跟大家交流一下防火牆選購的經驗。筆者結合自己與朋友防火牆管理方面的心得，總結出了防火牆選購中的五大誤區。權當拋磚引玉。

誤區一：太過於相信實驗數據。

在防火牆的產品說明中，往往會有一些性能、功能方面的參考數字。如吞吐量有6G，抗病毒能力有多強等等。對於這些數字我們在防火牆選購的時候不能夠太過於迷信。而應該以辯證的眼光去看待這些數字。

一方面，這些數字都是實驗數據。也就是說，是在一個相對合理的、干擾因素比較少的情況下得出的數據。但是，說實話，任何一個企業的網路環境都不可能達到他們測試產品的那種水準。當企業主機數量比較多，若分段不合理，就會造成比較多的網路廣播，那時也會影響到這個最終的有效吞吐量。所以，對於實驗室出來的數據，我們往往要打個對摺。

另一方面，不能夠光看某個指標。在選購防火牆的時候，有多大幾十項的指標，若其中一個指標，如吞吐量，即使高達10G，但是，若其他指標跟不上去的話，那麼一切都是白搭。有時候，廠商在測試產品的時候，往往會把某些功能關掉后再進行測試。在這種情況下，測試出來的數據，實用價值不會很大。因為若把其他功能關掉，就啟用一項功能，則CPU等硬體資源就不會發生爭奪。如此，某個指標的數字看起來就會好看許多。而在企業中部署防火牆的時候，不可能只用一項功能。把其他功能開起來的話，則這個數字就會打折扣了。

總之，在防火牆選購的時候，不要太過於相信實驗數據。對於他們從實驗室得出來的數字，筆者往往會給他們打個對摺。打折后的數據，可能水分會少一點。所以，實驗數據只能拿來參考。在有條件的情況下，網路管理員要結合自己的公司網路環境，對防火牆產品進行測試。這測試出來的結果，對於我們防火牆選購才會有參考價值。

網路管理員不要走入這個誤區。否則的話，網路管理員只有自己消化由此帶來的苦果了。

誤區二：功能花哨卻不實用。

信息化技術越來越複雜，而且防火牆的競爭也越來越激烈。所以，防火牆廠商為了提供自己產品的市場競爭力，就往往在自己的防火牆產品中集成比較多的功能，以增加市場的賣點。

對於這些功能，我們要冷眼看待。

一方面，要看看這些額外的功能企業是否需要。如有些防火牆產品中會集成VPN等功能。但是，企業是否需要這項功能呢？網路管理員要事先考慮清楚。因為VPN服務不僅在防火牆上可以實現，而且在路由器上也可以實現。如果企業對於VPN有比較高的性能要求的話，甚至可以部署一個專用的VPN伺服器等等。若在防火牆上實現VPN功能，筆者個人認為，有著畫蛇添足的味道。在管理上，沒有其他實現方式那邊簡便與人性化。

另一方面，一些額外的功能會耗費防火牆的資源。上面筆者說過，在實驗室中測試產品的時候，往往只是測試單一的功能。如測試吞吐量的話，會把其他功能關閉掉。若把防火牆的功能都啟用起來的話，則某個指標的數字可能需要打個兩折了。所以，花哨功能多了，就會大大影響防火牆的性能。這就好像一個巨無霸，網路管理員必須為他提供更好的硬體配置，才能夠讓其正常的運行。

1、記錄計算機網路之中的數據信息

數據信息對於計算機網路建設工作有著積極的促進作用，同時其對於計算機網路安全也有著一定程度上的影響。通過防火牆技術能夠收集計算機網路在運行的過程當中的數據傳輸、信息訪問等多方面的內容，同時對收集的信息進行分類分組，藉此找出其中存在安全隱患的數據信息，採取針對性的措施進行解決，有效防止這些數據信息影響到計算機網路的安全。除此之外，工作人員在對防火牆之中記錄的數據信息進行總結之後，能夠明確不同類型的異常數據信息的特點，藉此能夠有效提高計算機網路風險防控工作的效率和質量。

2、防止工作人員訪問存在安全隱患的網站

計算機網路安全問題之中有相當一部分是由工作人員進入了存在安全隱患的網站所導致的。通過應用防火牆技術能夠對工作人員的操作進行實時監控，一旦發現工作人員即將進入存在安全隱患的網站，防火牆就會立刻發出警報，藉此有效防止工作人員誤入存在安全隱患的網站，有效提高訪問工作的安全性。

3、控制不安全服務

計算機網路在運行的過程當中會出現許多不安全服務，這些不安全服務會嚴重影響到計算機網路的安全。通過應用防火牆技術能夠有效降低工作人員的實際操作風險，其能夠將不安全服務有效攔截下來，有效防止非法攻擊對計算機網路安全造成影響。此外，通過防火牆技術還能夠實現對計算機網路之中的各項工作進行實施監控，藉此使得計算機用戶的各項工作能夠在一個安全可靠的環境之下進行，有效防止因為計算機網路問題給用戶帶來經濟損失。

防火牆的英文名為“FireWall”，它是一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組組件集合。防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為“防火牆”。其實與防火牆一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這裡所講的防火牆的“安全策略”，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單嚮導通性”。

我們通常所說的網路防火牆是借鑒了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網（LAN）網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。

典型的防火牆具有以下基本特性。

數據必經之地

內部網路和外部網路之間的所有網路數據流都必須經過防火牆。這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的通道，才可以全面、有效地保護企業網部網路不受侵害。根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和網際網路之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網路的服務和訪問的審計和控制。

典型的防火牆體系網路結構一端連接企事業單位內部的區域網，而另一端則連接著網際網路。所有的內、外部網路之間的通信都要經過防火牆，只有符合安全策略的數據流才能通過防火牆。

網路流量的合法性

防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台“雙穴主機”，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。

抗攻擊免疫力

防火牆自身應具有非常強的抗攻擊免疫力：這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關係的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。國內的防火牆幾乎被國外的品牌佔據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、聯想、方正等，它們都提供不同級別的防火牆產品。

防火牆的硬體體系結構曾經歷過通用CPU架構、ASIC架構和網路處理器架構，他們各自的特點分別如下：通用CPU架構：通用CPU架構最常見的是基於Intel X86架構的防火牆，在百兆防火牆中Intel X86架構的硬體以其高靈活性和擴展性一直受到防火牆廠商的喜愛；由於採用了PCI匯流排介面，Intel X86架構的硬體雖然理論上能達到2Gbps的吞吐量甚至更高，但是在實際應用中，尤其是在小包情況下，遠遠達不到標稱性能，通用CPU的處理能力也很有限。國內安全設備主要採用的就是基於X86的通用CPU架構。ASIC架構：ASIC（Application Specific Integrated Circuit，專用集成電路）技術是國外高端網路設備幾年前廣泛採用的技術。由於採用了硬體轉發模式、多匯流排技術、數據層面與控制層面分離等技術， ASIC架構防火牆解決了帶寬容量和性能不足的問題，穩定性也得到了很好的保證。

ASIC技術的性能優勢主要體現網路層轉發上，而對於需要強大計算能力的應用層數據的處理則不佔優勢，而且面對頻繁變異的應用安全問題，其靈活性和擴展性也難以滿足要求。由於該技術有較高的技術和資金門檻，主要是國內外知名廠商在採用，國外主要代錶廠商是Netscreen，國內主要代錶廠商為天融信。網路處理器架構：由於網路處理器所使用的微碼編寫有一定技術難度，難以實現產品的最優性能，因此網路處理器架構的防火牆產品難以佔有大量的市場份額。隨著網路處理器的主要供應商Intel、Broadcom、IBM等相繼出售其網路處理器業務，該技術在網路安全產品中的應用已經走到了盡頭。

1、包過濾技術

防火牆的包過濾技術一般只應用於OSI7層的模型網路層的數據中，其能夠完成對防火牆的狀態檢測，從而預先可以把邏輯策略進行確定。邏輯策略主要針對地址、埠與源地址，通過防火牆所有的數據都需要進行分析，如果數據包內具有的信息和策略要求是不相符的，則其數據包就能夠順利通過，如果是完全相符的，則其數據包就被迅速攔截。計算機數據包傳輸的過程中，一般都會分解成為很多由目的地址等組成的一種小型數據包，當它們通過防火牆的時候，儘管其能夠通過很多傳輸路徑進行傳輸，而最終都會匯合於同一地方，在這個目地點位置，所有的數據包都需要進行防火牆的檢測，在檢測合格后，才會允許通過，如果傳輸的過程中，出現數據包的丟失以及地址的變化等情況，則就會被拋棄。

2、加密技術

計算機信息傳輸的過程中，藉助防火牆還能夠有效的實現信息的加密，通過這種加密技術，相關人員就能夠對傳輸的信息進行有效的加密，其中信息密碼是信息交流的雙方進行掌握，對信息進行接受的人員需要對加密的信息實施解密處理后，才能獲取所傳輸的信息數據，在防火牆加密技術應用中，要時刻注意信息加密處理安全性的保障。在防火牆技術應用中，想要實現信息的安全傳輸，還需要做好用戶身份的驗證，在進行加密處理后，信息的傳輸需要對用戶授權，然後對信息接收方以及發送方要進行身份的驗證，從而建立信息安全傳遞的通道，保證計算機的網路信息在傳遞中具有良好的安全性，非法分子不擁有正確的身份驗證條件，因此，其就不能對計算機的網路信息實施入侵。

3、防病毒技術

防火牆具有著防病毒的功能，在防病毒技術的應用中，其主要包括病毒的預防、清除和檢測等方面。防火牆的防病毒預防功能來說，在網路的建設過程中，通過安裝相應的防火牆來對計算機和網際網路間的信息數據進行嚴格的控制，從而形成一種安全的屏障來對計算機外網以及內網數據實施保護。計算機網路要想進行連接，一般都是通過網際網路和路由器連接實現的，則對網路保護就需要從主幹網的部分開始，在主幹網的中心資源實施控制，防止伺服器出現非法的訪問，為了杜絕外來非法的入侵對信息進行盜用，在計算機連接的埠所接入的數據，還要進行乙太網和IP地址的嚴格檢查，被盜用IP地址會被丟棄，同時還會對重要信息資源進行全面記錄，保障其計算機的信息網路具有良好安全性。

4、代理伺服器

代理伺服器是防火牆技術引用比較廣泛的功能，根據其計算機的網路運行方法可以通過防火牆技術設置相應的代理伺服器，從而藉助代理伺服器來進行信息的交互。在信息數據從內網向外網發送時，其信息數據就會攜帶著正確IP，非法攻擊者能夠分局信息數據IP作為追蹤的對象，來讓病毒進入到內網中，如果使用代理伺服器，則就能夠實現信息數據IP的虛擬化，非法攻擊者在進行虛擬IP的跟蹤中，就不能夠獲取真實的解析信息，從而代理伺服器實現對計算機網路的安全防護。另外，代理伺服器還能夠進行信息數據的中轉，對計算機內網以及外網信息的交互進行控制，對計算機的網路安全起到保護。

防火牆是為加強網路安全防護能力在網路中部署的硬體設備，有多種部署方式，常見的有橋模式、網關模式和NAT模式等。

1、橋模式

防火牆技術

橋模式也可叫作透明模式。最簡單的網路由客戶端和伺服器組成，客戶端和伺服器處於同一網段。為了安全方面的考慮，在客戶端和伺服器之間增加了防火牆設備，對經過的流量進行安全控制。正常的客戶端請求通過防火牆送達伺服器，伺服器將響應返回給客戶端，用戶不會感覺到中間設備的存在。工作在橋模式下的防火牆沒有IP地址，當對網路進行擴容時無需對網路地址進行重新規劃，但犧牲了路由、VPN等功能。

2、網關模式

網關模式適用於內外網不在同一網段的情況，防火牆設置網關地址實現路由器的功能，為不同網段進行路由轉發。網關模式相比橋模式具備更高的安全性，在進行訪問控制的同時實現了安全隔離，具備了一定的私密性。

3、NAT模式

NAT（Network Address Translation）地址翻譯技術由防火牆對內部網路的IP地址進行地址翻譯，使用防火牆的IP地址替換內部網路的源地址向外部網路發送數據；當外部網路的響應數據流量返回到防火牆后，防火牆再將目的地址替換為內部網路的源地址。NAT模式能夠實現外部網路不能直接看到內部網路的IP地址，進一步增強了對內部網路的安全防護。同時，在NAT模式的網路中，內部網路可以使用私網地址，可以解決IP地址數量受限的問題。

如果在NAT模式的基礎上需要實現外部網路訪問內部網路服務的需求時，還可以使用地址/埠映射（MAP）技術，在防火牆上進行地址/埠映射配置，當外部網路用戶需要訪問內部服務時，防火牆將請求映射到內部伺服器上；當內部伺服器返回相應數據時，防火牆再將數據轉發給外部網路。使用地址/埠映射技術實現了外部用戶能夠訪問內部服務，但是外部用戶無法看到內部伺服器的真實地址，只能看到防火牆的地址，增強了內部伺服器的安全性。

4、高可靠性設計

防火牆都部署在網路的出入口，是網路通信的大門，這就要求防火牆的部署必須具備高可靠性。一般IT設備的使用壽命被設計為3至5年，當單點設備發生故障時，要通過冗餘技術實現可靠性，可以通過如虛擬路由冗餘協議（VRRP）等技術實現主備冗餘。到2019年為止，主流的網路設備都支持高可靠性設計。

1、內網中的防火牆技術

防火牆在內網中的設定位置是比較固定的，一般將其設置在伺服器的入口處，通過對外部的訪問者進行控制，從而達到保護內部網路的作用，而處於內部網路的用戶，可以根據自己的需求明確許可權規劃，使用戶可以訪問規劃內的路徑。總的來說，內網中的防火牆主要起到以下兩個作用：一是認證應用，內網中的多項行為具有遠程的特點，只有在約束的情況下，通過相關認證才能進行；二是記錄訪問記錄，避免自身的攻擊，形成安全策略。

2、外網中的防火牆技術

應用於外網中的防火牆，主要發揮其防範作用，外網在防火牆授權的情況下，才可以進入內網。針對外網布設防火牆時，必須保障全面性，促使外網的所有網路活動均可在防火牆的監視下，如果外網出現非法入侵，防火牆則可主動拒絕為外網提供服務。基於防火牆的作用下，內網對於外網而言，處於完全封閉的狀態，外網無法解析到內網的任何信息。防火牆成為外網進入內網的唯一途徑，所以防火牆能夠詳細記錄外網活動，匯總成日誌，防火牆通過分析日常日誌，判斷外網行為是否具有攻擊特性。