防火墙的作用和意义_防火墙的作用和意义是什么

防火墙的作用和意义_防火墙的作用和意义是什么

       下面，我将为大家展开关于防火墙的作用和意义的讨论，希望我的回答能够解决大家的疑问。现在，让我们开始聊一聊防火墙的作用和意义的问题。

1.防火墙的基本特性

2.网闸、防火墙和防毒墙各有什么作用？为什么在同一个网络里使用呢？

3.防火墙真的很重要吗？如果不装会发生什么？

4.防火墙在企业网中的应用

5.防火墙的研究目的及意义？

防火墙的基本特性

       （一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙

       这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网内部网络不受侵害。

       根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

       典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。

       （二）只有符合安全策略的数据流才能通过防火墙

       防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。

       （三）防火墙自身应具有非常强的抗攻击免疫力

       这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。

       目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、山石网科、网御神州、联想、方正等，它们都提供不同级别的防火墙产品。

       （四）应用层防火墙具备更细致的防护能力

       自从Gartner提出下一代防火墙概念以来，信息安全行业越来越认识到应用层攻击成为当下取代传统攻击，最大程度危害用户的信息安全，而传统防火墙由于不具备区分端口和应用的能力，以至于传统防火墙仅仅只能防御传统的攻击，基于应用层的攻击则毫无办法。

       从2011年开始，国内厂家通过多年的技术积累，开始推出下一代防火墙，在国内从第一家推出真正意义的下一代防火墙的网康科技开始，至今包扩东软，天融信等在内的传统防火墙厂商也开始相互 效仿，陆续推出了下一代防火墙，下一代防火墙具备应用层分析的能力，能够基于不同的应用特征，实现应用层的攻击过滤，在具备传统防火墙、IPS、防毒等功能的同时，还能够对用户和内容进行识别管理，兼具了应用层的高性能和智能联动两大特性，能够更好的针对应用层攻击进行防护。

       （五）数据库防火墙针对数据库恶意攻击的阻断能力

       虚拟补丁技术：针对CVE公布的数据库漏洞，提供漏洞特征检测技术。　　高危访问控制技术：提供对数据库用户的登录、操作行为，提供根据地点、时间、用户、操作类型、对象等特征定义高危访问行为。　　SQL注入禁止技术：提供SQL注入特征库。　　返回行超标禁止技术：提供对敏感表的返回行数控制。　　SQL黑名单技术：提供对非法SQL的语法抽象描述。 代理服务设备（可能是一台专属的硬件，或只是普通机器上的一套软件）也能像应用程序一样回应输入封包（例如连接要求），同时封锁其他的封包，达到类似于防火墙的效果。

       代理使得由外在网络窜改一个内部系统更加困难，并且一个内部系统误用不一定会导致一个安全漏洞可从防火墙外面（只要应用代理剩下的原封和适当地被配置）被入侵。相反地，入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的；代理人然后伪装作为那个系统对其它内部机器。当对内部地址空间的用途加强安全，破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。

       防火墙经常有网络地址转换（NAT）的功能，并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”，依照被定义在[RFC 1918] 。 管理员经常设置了这样的情节：假装内部地址或网络是安全的。

       防火墙的适当的配置要求技巧和智能。 它要求管理员对网络协议和电脑安全有深入的了解。 因小差错可使防火墙不能作为安全工具。 （1）防火墙能强化安全策略。

       （2）防火墙能有效地记录Internet上的活动。

       （3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。

       （4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

网闸、防火墙和防毒墙各有什么作用？为什么在同一个网络里使用呢？

       防火墙在网络中经常是以两种图标出现的。一种图标非常形象，真正像一堵墙一样。而另一种图标则是从防火墙的过滤机制来形象化的，在图标中有一个二极管图标。而二极管我们知道，它具有单向导电性，这样也就形象地说明了防火墙具有单向导通性。这看起来与防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，也可以说具有“单向导通”性。

       防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门，各房间的人如何沟通呢，这些房间的人又如何进去呢？当火灾发生时，这些人又如何逃离现场呢？这个门就相当于我们这里所讲的防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是上面所介绍的“单向导通性”。

       我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网（LAN）网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。 防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构，他们各自的特点分别如下：

       通用CPU架构

       通用CPU架构最常见的是基于Intel X86架构的防火墙，在百兆防火墙中Intel X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了PCI总线接口，Intel X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。

       国内安全设备主要采用的就是基于X86的通用CPU架构。

       ASIC架构

       ASIC（Application Specific Integrated Circuit，专用集成电路）技术是国外高端网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术， ASIC架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证。

       ASIC技术的性能优势主要体现在网络层转发上，而对于需要强大计算能力的应用层数据的处理则不占优势，而且面对频繁变异的应用安全问题，其灵活性和扩展性也难以满足要求。

       由于该技术有较高的技术和资金门槛，主要是国内外知名厂商在采用，国外主要代表厂商是Netscreen，国内主要代表厂商为天融信、网御神州。

       网络处理器架构

       由于网络处理器所使用的微码编写有一定技术难度，难以实现产品的最优性能，因此网络处理器架构的防火墙产品难以占有大量的市场份额。

       基于国产CPU的防火墙

       随着国内通用处理器的发展，逐渐发展了基于中国芯的防火墙，主要架构为国产龙芯2F+FPGA的协议处理器，主要应用政府、军队等对国家安全敏感的行业。代表厂商有中科院计算所、博华科技等公司。 防火墙配置有三种：Dual-homed方式、Screened- host方式和Screened-subnet方式。

       Dual-homed方式最简单。 Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。

       Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。

       Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为”停火区”（DMZ，即DemilitarizedZone）,Bastionhost放置在“停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。 第一代防火墙

       第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。

       第二代防火墙

       第一代防火墙技术主要在路由器上实现，后来将此安全功能独立出来专门用来实现安全过滤功能。1989年，贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。

       第三代防火墙

       代理防火墙出现，原来从路由器上独立出来的安全软件迅速发展，并引发了对承载安全软件本身的操作系统的安全需求。即对防火墙本身的安全问题的安全需求。

       第四代防火墙

       1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet filter）技术的第四代防火墙，后来演变为所说的状态监视（Stateful inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。

       第五代防火墙

       1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

       一体化安全网关UTM

       UTM统一威胁管理，在防火墙基础上发展起来的，具备防火墙、IPS、防病毒、防垃圾邮件等综合功能的设备。由于同时开启多项功能会大大降低UTM的处理性能，因此主要用于对性能要求不高的中低端领域。在中低端领域，UTM已经出现了代替防火墙的趋势，因为在不开启附加功能的情况下，UTM本身就是一个防火墙，而附加功能又为用户的应用提供了更多选择。在高端应用领域，比如电信、金融等行业，仍然以专用的高性能防火墙、IPS为主流。 防火墙就是一种过滤塞（你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

       天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。

       所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。

       当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

       我们“命令”（用专业术语来说就是配制）防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。

       还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

       服务器TCP/UDP 端口过滤

       仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用 telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。

       比如，默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。

       客户机也有TCP/UDP端口

       TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？

       由于历史的原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

       这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如X client、基于RPC的NFS服务以及为数众多的非UNIX IP产品等（NetWare/IP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。

       双向过滤

       OK，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果你知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络：

       不过新问题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在运行的端口号呢？ 象HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设置防火墙，你就没法访问哪些没采用标准端口号的的网络站点了！反过来，你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！

       检查ACK位

       源地址我们不相信，源端口也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢？还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于TCP协议。

       TCP是一种可靠的通信协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应，实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认，所以它就没有设置ACK位，后续会话交换的TCP包就要设置ACK位了。

       举个例子，PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位，我们就可以将进入网络的数据限制在响应包的范围之内。于是，远程系统根本无法发起TCP连接但却能响应收到的数据包了。

       这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被打开以便外部请求可以进入网络。还有，对UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程序，比如FTP，连接就必须由这些服务器程序自己发起。

       FTP带来的困难

       一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。

       在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口 (数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。

       UDP端口过滤

       好了，我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP 是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和 NetWare/IP都使用UDP。

       看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP，如果要让你的用户使用它，就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是，什么叫可信任！如果黑客采取地址欺骗的方法不又回到老路上去了吗？

       有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了！但是，我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。

       所谓代理服务器，顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。 防火墙实现了你的安全政策 防火墙加强了一些安全策略。如果你没有在放置防火墙之前制定安全策略的话，那么就是制定的时候了。它可以不被写成书面形式，但是同样可以作为安全策略。如果你还没有明确关于安全策略应当做什么的话，安装防火墙就是你能做的最好的保 护你的站点的事情，并且要随时维护它也是很不容易的事情。要想有一个好的防火墙，你需要好的安全策略---写成书面的并且被大家所接受。 一个防火墙在许多时候并不是一个单一的设备 除非在特别简单的案例中，防火墙很少是单一的设备，而是一组设备。就算你购买的是一个商用的“all-in-one”防火墙应用程序，你同样得配置其他机器（例如你的网络服务器）来与之一同运行。这些其他的机器被认为是防火墙的一部分，这包含了对这些机器的配置和管理方式，他们所信任的是什么，什么又将他们作为可信的等等。你不能简单的选择一个叫做“防火墙”的设备却期望其担负所有安全责任。

       2. 防火墙并不是现成的随时获得的产品

       选择防火墙更像买房子而不是选择去哪里度假。防火墙和房子很相似，你必须每天和它待在一起，你使用它的期限也不止一两个星期那么多。都需要维护否则都会崩溃掉。建设防火墙需要仔细的选择和配置一个解决方案来满足你的需求，然后不断的去维护它。需要做很多的决定，对一个站点是正确的解决方案往往对另外站点来说是错误的。

       3. 防火墙并不会解决你所有的问题

       并不要指望防火墙靠自身就能够给予你安全。防火墙保护你免受一类攻击的威胁，人们尝试从外部直接攻击内部。但是却不能防止从LAN内部的攻击，它甚至不能保护你免受所有那些它能检测到的攻击。

       4. 使用默认的策略

       正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。但是新的漏洞每天都出现，关闭不安全的服务意味着一场持续的战争。

       5. 有条件的妥协，而不是轻易的

       人们都喜欢做不安全的事情。如果你允许所有的请求的话，你的网络就会很不安全。如果你拒绝所有的请求的话，你的网络同样是不安全的，你不会知道不安全的东西隐藏在哪里。那些不能和你一同工作的人将会对你不利。你需要找到满足用户需求的方式，虽然这些方式会带来一定量的风险。

       6. 使用分层手段

       并在一个地点以来单一的设备。使用多个安全层来避免某个失误造成对你关心的问题的侵害。

       7. 只安装你所需要的

       防火墙机器不能像普通计算机那样安装厂商提供的全部软件分发。作为防火墙一部分的机器必须保持最小的安装。即使你认为有些东西是安全的也不要在你不需要的时候安装它。

       8. 使用可以获得的所有资源

       不要建立基于单一来源的信息的防火墙，特别是该资源不是来自厂商。有许多可以利用的资源：例如厂商信息，我们所编写的书，邮件组，和网站。

       9. 只相信你能确定的

       不要相信图形界面的手工和对话框或是厂商关于某些东西如何运行的声明，检测来确定应当拒绝的连接都拒绝了。检测来确定应当允许的连接都允许了。

       10. 不断的重新评价决定

       你买的房子今天可能已经不适合你了。同样的，你一年以前所安装的防火墙对于你现在的情况已经不是最好的解决方案了。对于防火墙你应当经常性的评估你的决定并确认你仍然有合理的解决方案。更改你的防火墙，就像搬新家一样，需要明显的努力和仔细的计划。

       11. 要对失败有心理准备

       做好最坏的心理准备。防火墙不是万能的,对一些新出现的病毒和木马可能没有反映,要时常的更新.机器可能会停止运行，动机良好的用户可能会做错事情，有恶意动机的用户可能做坏的事情并成功的打败你。但是一定要明白当这些事情发生的时候这并不是一个完全的灾难，因为病毒发展迅速，而且品种繁多，防火墙不可能全部都能阻拦，所以要做好最坏的心理准备的同时还要为下一步预防做好打算，加强自身的安全防护。 Online Armor Free 4.0.0.35-免费版本

       Malware Defender 2.6.0-国产防火墙

       Kaspersky Internet Security 2010 9.0.0.736

       Privatefirewall 7.0.20.36-免费版本

       Outpost Firewall Free 2009 6.5.1.2725.381.0687-免费版本

       ZoneAlarm Extreme Security 9.1.008.000

       Norton Internet Security 2010 17.5.0.127

       Jetico Personal Firewall 2.1.0.7.2412

       BitDefender Internet Security 2010 13.0.19.347

       Trend Micro Internet Security Pro 2010 17.50.1647.0000

       avast! Internet Security 5.0.418.0

       McAfee Internet Security 2010 11.0.378

       Panda Internet Security 2010 15.01.00 1、如何关闭windows防火墙　　a：打开“开始”菜单，“运行”输入control命令打开控制面板；　　b：在控制面板中找到“防火墙”图标双击打开；　　c：选择“关闭（不推荐）”并确定即可关闭防火墙。

       2、如何打开windows防火墙　　只需将关闭防火墙的第三步改成“启用（推荐）”即可开启示windows防火墙。

防火墙真的很重要吗？如果不装会发生什么？

       楼上讲的全是软件，在企业网络环境中这些软件防火墙没什么意义。

       首先，网闸、防火墙在企业网络中是以硬件形式的，防毒墙则大多是软件形式，当然也有比如蓝芯硬件防毒产品。

       网闸：用于实现内外网隔离，在能够访问内网的情况下不能访问外网，在能够访问外网的情况下不能访问内网。通常用于对于保密安全级别比较高的环境，例如：政府、金融行业。

       防火墙：通常放置在企业网络连接外网的位置，在硬件防火墙上可以做很多策略，来阻挡进出的网络流量。有些品牌的防火墙，可以集成入侵检测、入侵防御等功能。它和路由器交换机一样已经是企业网络最常见的设备。

       防毒墙：传统的网络防火墙就像一扇门，只有打开和关闭两种状态，而无法实时对网络状况进行监测，它只能通过阻止IP来实现对病毒以及黑客的防御。防毒墙作用顾名思议，用来弥补防火墙的不足。

       综合来看，三种设备作用各不相同，配合使用起到整体安全保护作用。

防火墙在企业网中的应用

       要想知道它的作用，必须先了解它的工作原理。

       防火墙是一个或一组系统，它在网络之间执行访问控制策略。实现防火墙的实际方式各不相同，但是在原则上，防火墙可以被认为是这样一对机制：一种机制是拦阻传输流通行，另一种机制是允许传输流通过。一些防火墙偏重拦阻传输流的通行，而另一些防火墙则偏重允许传输流通过。了解有关防火墙的最重要的概念可能就是它实现了一种访问控制策略。如果你不太清楚你需要允许或否决那类访问，你可以让其他人或某些产品根据他（它）们认为应当做的事来配置防火墙，然后他（它）们会为你的机构全面地制定访问策略。

       2．为何需要防火墙？

       同其它任何社会一样，Internet也受到某些无聊之人的困扰，这些人喜爱在网上做这类的事,像在现实中向其他人的墙上喷染涂鸦、将他人的邮箱推倒或者坐在大街上按汽车喇叭一样。一些人试图通过Internet完成一些真正的工作，而另一些人则拥有敏感或专有数据需要保护。一般来说，防火墙的目是将那些无聊之人挡在你的网络之外，同时使你仍可以完成工作。

       许多传统风格的企业和数据中心都制定了计算安全策略和必须遵守的惯例。在一家公司的安全策略规定数据必须被保护的情况下，防火墙更显得十分重要，因为它是这家企业安全策略的具体体现。如果你的公司是一家大企业，连接到Internet上的最难做的工作经常不是费用或所需做的工作，而是让管理层信服上网是安全的。防火墙不仅提供了真正的安全性，而且还起到了为管理层盖上一条安全的毯子的重要作用。

       最后，防火墙可以发挥你的企业驻Internet“大使”的作用。许多企业利用其防火墙系统作为保存有关企业产品和服务的公开信息、下载文件、错误修补以及其它一些文件的场所。这些系统当中的几种系统已经成为Internet服务结构（如UUnet.uu.net、whitehouse.gov、gatekeeper.dec.com）的重要组成部分，并且给这些机构的赞助者带来了良好的影响。

       3．防火墙可以防范什么？

       一些防火墙只允许电子邮件通过，因而保护了网络免受除对电子邮件服务攻击之外的任何攻击。另一些防火墙提供不太严格的保护措施，并且拦阻一些众所周知存在问题的服务。

       一般来说，防火墙在配置上是防止来自“外部”世界未经授权的交互式登录的。这大大有助于防止破坏者登录到你网络中的计算机上。一些设计更为精巧的防火墙可以防止来自外部的传输流进入内部，但又允许内部的用户可以自由地与外部通信。如果你切断防火墙的话，它可以保护你免受网络上任何类型的攻击。

       防火墙的另一个非常重要的特性是可以提供一个单独的“拦阻点”，在“拦阻点”上设置安全和审计检查。与计算机系统正受到某些人利用调制解调器拨入攻击的情况不同，防火墙可以发挥一种有效的“电话监听”（Phone tap）和跟踪工具的作用。防火墙提供了一种重要的记录和审计功能；它们经常可以向管理员提供一些情况概要，提供有关通过防火墙的传流输的类型和数量以及有多少次试图闯入防火墙的企图等等信息。

       4．防火墙不能防范什么？

       防火墙不能防范不经过防火墙的攻击。许多接入到Internet的企业对通过接入路线造成公司专用数据数据泄露非常担心。不幸得是，对于这些担心来说，一盘磁带可以被很有效地用来泄露数据。许多机构的管理层对Internet接入非常恐惧，它们对应当如何保护通过调制解调器拨号访问没有连惯的政策。当你住在一所木屋中，却安装了一扇六英尺厚的钢门，会被认为很愚蠢。然而，有许多机构购买了价格昂贵的防火墙，但却忽视了通往其网络中的其它几扇后门。要使防火墙发挥作用，防火墙就必须成为整个机构安全架构中不可分割的一部分。防火墙的策略必须现实，能够反映出整个网络安全的水平。例如，一个保存着超级机密或保密数据的站点根本不需要防火墙：首先，它根本不应当被接入到Internet上，或者保存着真正秘密数据的系统应当与这家企业的其余网络隔离开。

       防火墙不能真正保护你防止的另一种危险是你网络内部的叛变者或白痴。尽管一个工业间谍可以通过防火墙传送信息，但他更有可能利用电话、传真机或软盘来传送信息。软盘远比防火墙更有可能成为泄露你机构秘密的媒介！防火墙同样不能保护你避免愚蠢行为的发生。通过电话泄露敏感信息的用户是社会工程（social engineering）的好目标；如果攻击者能找到内部的一个“对他有帮助”的雇员，通过欺骗他进入调制解调器池，攻击者可能会完全绕过防火墙打入你的网络。

       5．防火墙能否防止病毒的攻击？

       防火墙不能有效地防范像病毒这类东西的入侵。在网络上传输二进制文件的编码方式太多了，并且有太多的不同的结构和病毒，因此不可能查找所有的病毒。换句话说，防火墙不可能将安全意识（security-consciosness）交给用户一方。总之，防火墙不能防止数据驱动的攻击：即通过将某种东西邮寄或拷贝到内部主机中，然后它再在内部主机中运行的攻击。过去曾发生过对不同版本的邮件寄送程序和幻像脚本（ghostscript）和免费PostScript阅读器的这类攻击。

       对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外，而是保证每个脆弱的桌面系统都安装上病毒扫描软件，只要一引导计算机就对病毒进行扫描。利用病毒扫描软件防护你的网络将可以防止通过软盘、调制解调器和Internet传播的病毒的攻击。试图御病毒于防火墙之外只能防止来自Internet的病毒，而绝大多数病毒是通过软盘传染上的。

       尽管如此，还是有越来越多的防火墙厂商正提供“病毒探测”防火墙。这类防火墙只对那种交换Windows-on-Intel执行程序和恶意宏应用文档的毫无经验的用户有用。不要指望这种特性能够对攻击起到任何防范作用。

       6．在防火墙设计中需要做哪些基本设计决策？

       在负责防火墙的设计、制定工程计划以及实施或监督安装的幸运儿面前，有许多基本设计问题等着他去解决。

       首先，最重要的问题是，它应体现你的公司或机构打算如何运行这个系统的策略：安装后的防火墙是为了明确地拒绝除对于连接到网络至关重的服务之外的所有服务，或者，安装就绪的防火墙是为以非威胁方式对“鱼贯而入”的访问（"queuing" access）提供一种计量和审计的方法。在这些选择中存在着某种程度的偏执狂；防火墙的最终功能可能将是行政上的结果，而非工程上的决策。

       第二个问题是：你需要何种程度的监视、冗余度以及控制水平？通过解决第一个问题，确定了可接受的风险水平（例如你的偏执到何种程度）后，你可以列出一个必须监测什么传输、必须允许什么传输流通行以及应当拒绝什么传输的清单。换句话说，你开始时先列出你的总体目标，然后把需求分析与风险评估结合在一起，挑出与风险始终对立的需求，加入到计划完成的工作的清单中。

       第三个问题是财务上的问题。在此，我们只能以模糊的表达方式论述这个问题，但是，试图以购买或实施解决方案的费用多少来量化提出的解决方案十分重要。例如，一个完整的防火墙的高端产品可能价值10万美元，而低端产品可能是免费的。像在Cisco或类似的路由器上做一些奇妙的配置这类免费选择不会花你一分钱，只需要工作人员的时间和几杯咖啡。从头建立一个高端防火墙可能需要几个人工月，它可能等于价值3万美元的工作人员工资和利润。系统管理开销也是需要考虑的问题。建立自行开发的防火墙固然很好，但重要的是使建立的防火墙不需要费用高昂的不断干预。换句话说，在评估防火墙时，重要的是不仅要以防火墙目前的费用来评估它，而且要考虑到像支持服务这类后续费用。

       出于实用目的，我们目前谈论的是网络服务提供商提供的路由器与你内部网络之间存在的静态传输流路由服务，因此基于为一事实，在技术上，还需要做出几项决策。传输流路由服务可以通过诸如路由器中的过滤规则在IP层实现，或通过代理网关和服务在应用层实现。

       需要做出的决定是，是否将暴露的简易机放置在外部网络上为telnet、ftp、news等运行代理服务，或是否设置像过滤器这样的屏蔽路由器，允许与一台或多台内部计算机的通信。这两种方式都存在着优缺点，代理机可以提供更高水平的审计和潜在的安全性，但代价是配置费用的增加，以及可能提供的服务水平的降低（由于代理机需要针对每种需要的服务进行开发）。由来以久的易使性与安全性之间的平衡问题再次死死地困扰着我们。

       7．防火墙的基本类型是什么？

       在概念上，有两种类型的防火墙：

       1、网络级防火墙

       2、应用级防火墙

       这两种类型的差异并不像你想像得那样大，最新的技术模糊了两者之间的区别，使哪个“更好”或“更坏”不再那么明显。同以往一样，你需要谨慎选择满足你需要的防火墙类型。

       网络级防火墙一般根据源、目的地址做出决策，输入单个的IP包。一台简单的路由器是“传统的”网络级防火墙，因为它不能做出复杂的决策，不能判断出一个包的实际含意或包的实际出处。现代网络级防火墙已变得越来越复杂，可以保持流经它的接入状态、一些数据流的内容等等有关信息。许多网络级防火墙之间的一个重要差别是防火墙可以使传输流直接通过，因此要使用这样的防火墙通常需要分配有效的IP地址块。网络级防火墙一般速度都很快，对用户很透明。

       网络级防火墙的例子：在这个例子中，给出了一种称为“屏蔽主机防火墙”（screened host

       firewall）的网络级防火墙。在屏蔽主机防火墙中，对单个主机的访问或从单个主机进行访问是通过运行在网络级上的路由器来控制的。这台单个主机是一台桥头堡主机（bastion host），是一个可以（希望如此）抵御攻击的高度设防和保险的要塞。

       网络级防火墙的例子：在这个例子中，给出了一种所谓“屏蔽子网防火墙”的网络级防火墙。在屏蔽子网防火墙中，对网络的访问或从这个网络中进行访问是通过运行在网络级上的路由器来控制的。除了它实际上是由屏蔽主机组成的网络外，它与被屏蔽主机的作用相似。

       应用级防火墙一般是运行代理服务器的主机，它不允许传输流在网络之间直接传输，并对通过它的传输流进行记录和审计。由于代理应用程序是运行在防火墙上的软件部件，因此它处于实施记录和访问控制的理想位置。应用级防火墙可以被用作网络地址翻译器，因为传输流通过有效地屏蔽掉起始接入原址的应用程序后，从一“面”进来，从另一面出去。在某些情况下，设置了应用级防火墙后，可能会对性能造成影响，会使防火墙不太透明。早期的应用级防火墙，如那些利用TIS防火墙工具包构造的防火墙，对于最终用户不很透明，并需要对用户进行培训。应用级防火墙一般会提供更详尽的审计报告，比网络级防火墙实施更保守的安全模型。

       应用级防火墙举例：这此例中，给出了一个所谓“双向本地网关”（dual homed gateway）的应用级防火墙。双向本地网关是一种运行代理软件的高度安全主机。它有两个网络接口，每个网络上有一个接口，拦阻通过它的所有传输流。

       防火墙未来的位置应当处于网络级防火墙与应用级防火墙之间的某一位置。网络级防火墙可能对流经它们的信息越来越“了解”（aware），而应用级防火墙可能将变得更加“低级”和透明。最终的结果将是能够对通过的数据流记录和审计的快速包屏蔽系统。越来越多的防火墙（网络和应用层）中都包含了加密机制，使它们可以在Internet上保护流经它们之间的传输流。具有端到端加密功能的防火墙可以被使用多点Internet接入的机构所用，这些机构可以将Internet作为“专用骨干网”，无需担心自己的数据或口令被偷看。

       8．什么是“单故障点”？应当如何避免出现这种故障？

       安全性取决于一种机制的结构具有单故障点。运行桥头堡主机的软件存在错误。应用程序存在错误。控制路由器的软件存在错误。使用所有这些组件建造设计安全的网络，并以冗余的方式使用它们才有意义。

       如果你的防火墙结构是屏蔽子网，那么，你有两台包过滤路由器和一台桥头堡主机。（参见本节的问题2）Internet访问路由器不允许传输流从Internet进入你的专用网络。然而，如果你不在桥头堡主机以及（或）阻塞（choke）路由器上与其它任何机制一道执行这个规则（rule）的话，那么只要这种结构中的一个组件出现故障或遭到破坏就会使攻击者进入防火墙内部。另一方面，如果你在桥头堡主机上具有冗余规则，并在阻塞路由器上也有冗余规则，那么攻击者必须对付三种机制。

       此外，如果这台桥头堡主机或阻塞路由器使用规则来拦阻外部访问进入内部网络的话，你可能需要让它触发某种报警，因为你知道有人进入了你的访问路由器。

       9．如何才能将所有的恶意的传输拦在外面？

       对于重点在于安全而非连接性的防火墙来说，你应当考虑缺省拦阻所有的传输，并且只特别地根据具体情况允许你所需要的服务通过。

       如果你将除特定的服务集之外的所有东西都挡在外面，那么你已经使你的任务变得很容易了。你无需再为周围的每样产品和每件服务的各种安全问题担心了，你只需关注特定产品和服务存在的各种安全问题。:-)

       在启动一项服务之前，你应当考虑下列问题：

       ＊这个产品的协议是人们熟知的公开协议吗？

       ＊为这个协议提供服务的应用程序的应用情况是否可供公开检查？

       ＊这项服务和产品是否为人们熟知？

       ＊使用这项服务会怎样改变防火墙的结构？攻击者会从不同的角度看待这些吗？攻击者能利用这点进入我的内部网络，或者会改变我的DMZ中主机上的东西吗？

       在考虑上述问题时，请记住下列忠告：

       ＊“不为人所知的安全性根本不安全。许多未公开的协议都被那些坏家伙研究并破解过。

       ＊无论营销人员说些什么，不是所有的协议或服务在设计时考虑了安全性。事实上，真正在设计时考虑了安全性的协议或服务数量很少。

       ＊甚至在考虑过安全性的情况下，并不是所有的机构都拥有合格的负责安全的人员。在那些没有称职负责安全的人员的机构中，不是所有的机构都愿意请称职的顾问参与工程项目。这样做的结果是那些其它方面还称职的、好心肠的开发者会设计出不安全的系统。

       ＊厂商越不愿意告诉你他们系统的真正工作原理，它就越有可能可存安全性（或其它）问题。只有有什么东西需要隐瞒的厂商才有理由隐瞒他们的设计和实施情况。

       10．有哪些常见的攻击？应当如何保护系统不受它们的攻击呢？

       每个站点与其它站点遭受攻击的类型都略有不同。但仍有一些共同之处。

       SMTP会话攻击（SMTP Session Hijacking）

       在这种攻击中，垃圾邮件制造者将一条消息复制成千上万份，并按一个巨大的电子邮件地址清单发送这条消息。由于这些地址清单常常很糟糕，并且为了加快垃圾制造者的操作速度，许多垃圾制造者采取了将他们所有的邮件都发送到一台SMTP服务器上作法，由这台服务器负责实际发送这些邮件。

       当然，弹回（bounces）消息、对垃圾制造者的抱怨、咒骂的邮件和坏的PR都涌入了曾被用作中继站的站点。这将着实要让这个站点破费一下了，其中大部分花费被用到支付以后清除这些信息的人员费用上。

       《防止邮件滥用系统传输安全性建议》（The Mail Abuse Prevention System Transport Security Initiative）中对这个问题作了详尽的叙述，以及如何对每个寄信人进行配置防止这种攻击。

       利用应用程序中的错误（bugs）

       不同版本的web服务器、邮件服务器和其它Internet服务软件都存在各种错误，因此，远程（Internet）用户可以利用错误做从造成对计算机的控制到引起应用程序瘫痪等各种后果。

       只运行必要的服务、用最新的补丁程序修补程序以及使用应用过一段时间的产品可以减少遭遇这种风险的可能。

       利用操作系统中的错误

       这类攻击一般也是由远程用户发起的。相对于IP网络较新的操作系统更易出现问题，而很成熟的操作系统有充分的时间来发现和清除存在的错误。攻击者经常可以使被攻击的设备不断重新引导、瘫痪、失去与网络通信的能力，或替换计算机上的文件。

       因此，尽可能少地运行操作系统服务可以有助于防范对系统的攻击。此外，在操作系统前端安装一个包过滤器也可以大大减少受这类攻击的次数。

       当然，选择一个稳定的操作系统也同样会有帮助。在选择操作系统时，不要轻信“好货不便宜”这类说法。自由软件操作系统常常比商用操作系统更强。

       11．我必须满足用户要求的各种要求吗？

       对这个问题的答案完全有可能是“不”。对于需要什么，不需要什么，每个站点都有自己的策略，但是，重要的是记住作为一家机构的看门人的主要工作之一是教育。用户需要流视频、实时聊天，并要求能够向请求在内部网络上的活数据库进行交互查询的外部客户提供服务。

       这意味着完成任何这类事情都会给机构造成风险，而造成的风险往往比想像中沿着这条路走下去的“价值”的回报更高。多数用户不愿使自己的机构遭受风险。他们只看一看商标，阅读一下广告，他们也愿意做上述那些事。重要的是了解用户真正想干些什么，帮助他们懂得他们可以以更安全的方式实现他们的真正目的。

       你不会总受到欢迎，你可以甚至会发现自己收到了难以置信愚蠢的命令，让你做一些诸如“打开所有的口子”这样的事，但不要为此担心。在这种时刻，明智的做法是将你的交换数据全都保存起来，这样当一个十二岁的小孩闯入网络时，你至少能够使你自己远离混乱局面。

       12．如何才能通过自己的防火墙运行Web／HTTP？

       有三种办法做到这点：

       1、如果你使用屏蔽路由器的话，允许“建立起的”连接经过路由器接入到防火墙外。

       2、使用支持SOCKS的Web客户机，并在你的桥头堡主机上运行SOCKS。

       3、运行桥头堡主机上的某种具有代理功能的Web服务器。一些可供选择的代理服务器包括Squid、Apache、Netscape Proxy和TIS防火墙工具包中的的连接。基本上所有的Web客户机（Mozilla、Internet Explorer、Lynx等等）都具有内置的对代理服务器的支持。

       13．在使用防火墙时，怎样使用DNS呢？

       一些机构想隐藏DNS名，不让外界知道。许多专家认为隐藏DNS名没有什么价值，但是，如果站点或企业的政策强制要求隐藏域名，它也不失为一种已知可行的办法。你可能必须隐藏域名的另一条理由是你的内部网络上是否有非标准的寻址方案。不要自欺欺人的认为，如果隐藏了你的DNS名，在攻击者打入你的防火墙时，会给攻击者增加困难。有关你的网络的信息可以很容易地从网络层获得。假如你有兴趣证实这点的话，不妨在LAN上“ping”一下子网广播地址，然后再执行“arp -a”。还需要说明的是，隐藏DNS中的域名不能解决从邮件头、新闻文章等中“泄露”主机名的问题。

       这种方法是许多方法中的一个，它对于希望向Internet隐瞒自己的主机名的机构很有用。这种办法的成功取决于这样一个事实：即一台机器上的DNS客户机不必与在同一台机器上的DNS服务器对话。换句话说，正是由于在一台机器上有一个DNS服务器，因此，将这部机器的DNS客户机活动重定向到另一台机器上的DNS服务器没有任何不妥（并且经常有好处）。

       首先，你在可以与外部世界通信的桥头堡主机上建立DNS服务器。你建立这台服务器使它宣布对你的域名具有访问的权力。事实上，这台服务器所了解的就是你想让外部世界所了解的：你网关的名称和地址、你的通配符MX记录等等。这台服务器就是“公共”服务器。

       然后，在内部机器上建立一台DNS服务器。这台服务器也宣布对你的域名具有权力；与公共服务器不同，这台服务器“讲的是真话”。它是你的“正常”的命名服务器，你可以在这台服务器中放入你所有的“正常”DNS名。你再设置这台服务器，使它可以将它不能解决的查询转发到公共服务器（例如，使用Unix机上的/etc/

       named.boot中的“转发器”行（forwarder line））。

       最后，设置你所有的DNS客户机（例如，Unix机上的/etc/resolv.conf文件）使用内部服务器，这些DNS客户机包括公共服务器所在机器上的DNS客户机。这是关键。

       询问有关一台内部主机信息的内部客户机向内部服务器提出问题，并得到回答；询问有关一部外部主机信息的内部客户机向内部服务器查询，内部客户机再向公共服务器进行查询，公共服务器再向Internet查询，然后将得到的答案再一步一步传回来。公共服务器上的客户机也以相同的方式工作。但是，一台询问关于一台内部主机信息的外部客户机，只能从公共服务器上得到“限制性”的答案。

       这种方式假定在这两台服务器之间有一个包过滤防火墙，这个防火墙允许服务器相互传递DNS，但除此之外，限制其它主机之间的DNS。

       这种方式中的另一项有用的技巧是利用你的IN-ADDR.AROA域名中通配符PTR记录。这将引起对任何非公共主机的“地址到名称”（address-to-name）的查找返回像“unknown.YOUR.DOMAIN”这样的信息，而非返回一个错误。这就满足了像ftp.uu.net匿名FTP站点的要求。这类站点要求得到与它们通信的计算机的名字。当与进行DNS交叉检查的站点通信时，这种方法就不灵了。在交叉检查中，主机名要与它的地址匹配，地址也要与主机名匹配。

       14．怎样才能穿过防火墙使用FTP？

       一般来说，可以通过使用像防火墙工具包中的ftp-gw这类代理服务器，或在有限的端口范围允许接入连接到网络上（利用如“建立的”屏蔽规则这样的规则来限制除上述端口外的接入），使FTP可以穿过防火墙工作。然后，修改FTP客户机，使其将数据端口连接在允许端口范围内的一个端口上。这样做需要能够修改在内部主机上的

       FTP客户机应用。

       在某些情况下，如果FTP的下载是你所希望支持的，你不妨考虑宣布FTP为“死协议”（dead protocol），并且让户通过Web下载文件。如果你选择FTP-via-Web方式，用户将不能使用FTP向外传输文件，这可能会造成问题，不过这取决你试图完成什么。

       另一个不同的办法是使用FTP "PASV"选项来指示远程FTP服务器允许客户机开始连接。PASV方式假设远程系统上的FTP服务器支持这种操作。（详细说明请参看RFC1579）

       另一些站点偏爱建立根据SOCKS库链接的FTP程序的客户机版本。

       15．怎样才能穿过防火墙使用telnet？

       利用像防火墙工具包中的tn-gw这类应用代理，或简单地配置一台路由器使它利用像“建立的”屏蔽规则等策略允许接出，一般都可以支持使用telnet。应用代理可以以运行在桥头堡主机上的独立代理的形式，或以SOCKS服务器和修改的客户机的形式存在。

       16．怎样才能穿过防火墙使用RealAudio？

       RealNetworks中含有关于如何使穿过防火墙RealAudio的一些说明。在没有清楚地了解做哪些改动，了解新的改动将带来什么样的风险的情况下，就改动你的防火墙，是很不明智的。

       17．如何才能使web服务器作为专用网络上的一个数据库的前端呢？

       实现这点的最佳途径是通过特定的协议在web服务器与数据库服务器之间允许很有限的连接。特定的协议只支持你将使用的功能的级别。允许原始SQL或其它任何可为攻击者利用来进行定制提取（extractions）的东西，一般来说不是一个好主意。

       假设攻击者能够进入你的web服务器，并以web服务器同样的方式进行查询。难道没有一种机制能提取web服务器不需要的像信用卡信息这样的敏感信息吗？攻击者难道不能发出一次SQL选择，然后提取你整个的专用数据库吗？

       同其它所有应用一样，“电子商务”应用从一开始设计时就充分考虑到了安全问题，而不是以后再想起来“增加”安全性。应当从一个攻击者的角度，严格审查你的结构。假设攻击者了解你的结构的每一个细节。现在，再问问自己，想要窃取你的数据、进行非授权的改动或做其它任何你不想让做的事的话，应当做些什么。你可能会发现，不需要增加任何功能，只需做出一些设计和实施上的决策就可大大地增加安全性。

       下面是一些如何做到这点的想法：

       以一般的原则，从数据库中提取你所需要的数据，使你不用对包含攻击者感兴趣的信息的整个数据库进行查询。对你允许在web服务器与数据库之间传输流实行严格的限制和审计。

       回答者：引力流 - 经理 四级 3-11 23:46

       提问者对于答案的评价：

       bn

       其他回答

       共 6 条

       记得<一个馒头>中说无极=无聊X2,那我想现在普通网友认为的安全应该是 安全=防火墙+杀毒.鉴于普通网友不具备主动发现和手工清除病毒的能力,所以采用杀毒软件来清除病毒是很好的办法,但是有的时候杀毒软件确实也发现不了一些木马后门.而且经常因为清除病毒造成一些程序无法正常使用,防火墙是阻挡外界攻击的,网络上的攻击形形色色所以我们合理的配置好我们的防火墙还是很有必要的,你问题中提到了后台活动的程序那我推荐你安装反间谍程序,这样就一目了然了。 所以这些防护软件该怎么用,并没有严格限制,根据自己需求吧.

       总而言之一句话，防火墙是守城的，是站岗放哨的，没有系统给他的命令是不

       允许放不明身份的敌人（程序）进来的。而杀毒软件是把不小心潜入的敌人（程序）给消灭掉的。

防火墙的研究目的及意义？

       在IT安全领域，防火墙是一个重要的角色，通常被部署在企业网络和外部互联网中间，来保护企业网中的计算机、应用程序和其它资源免遭外部攻击。然而由于很多人对防火墙接触的很少，加上防火墙种类繁多，常常让一些新手朋友在选择购买防火墙的时候感到困惑，本文笔者将和大家一起简单了解一下在购买防火墙需要明确的一些概念，以及不同类型防火墙的主要优点和缺点。

       一、防火墙概念及选购要素

        尽管防火墙有很多种分类，我们还是可以给它下一个广泛的定义：一系列相关的安全程序被安装在一个网络入口服务器(或专用设备)上，两者共同筑起一道安全“墙”，共同保护内网资源免遭外网人员攻击。

        尽管所有防火墙都运行软件，防火墙市场本身还是被人们划分为两大阵营：硬件防火墙和软件防火墙。硬件防火墙是专门的安全设备，上面预装着安全软件，其操作系统一般是专用操作系统。另一方面，软件防火墙通常可以被安装在任何可用的服务器上，服务器的操作系统一般是通用的网络操作系统，诸如Windows或Linux等。

        企业在选择防火墙产品的时候，没有一套完全正确的规则可参考，因为每个企业的实际网络环境不一样，而且每个企业对防火墙功能要求也不同，因此企业通常要立足于需要和自己公司的实际情况来选择合适的防火墙。不过在选购防火墙的时候，还是有一些要考虑的共同问题，如以下问题。

        ·防火墙的体系架构(硬件还是软件);

        ·防火墙要求的并发会话(session)数量是多少，并发会话数是防火墙能够同时处理的点对点会话连接的最大数目，它反映防火墙对多个连接的访问控制能力和连接状态跟踪能力。这个参数的大小可以直接影响到防火墙所能支持的最大信息点数;

        ·外部访问的类型和范围要求;

        ·需要的***(虚拟专用网)协议的数量和类型;要求保护的并发***的数量;

        ·喜欢的管理用户界面(命令行、图形或基于网页)，以及是否需要高可用性功能。

        防火墙的价格相差很大，用户保护家庭或小企业网络的简单防火墙价格比较低，而用于专门保护企业资源的行业级别的硬件防火墙价格则非常高。

        没有两个企业的网络是完全相同的，因此厂商提供了许多不同类型的防火墙实现(包括基于硬件和软件的)，来满足特定客户需要。最基本的实现可以被划分为包过滤、电路层和应用层三类。

       二、包过滤防火墙

        单纯的包过滤防火墙除了过滤数据包之外什么操作也不做。包过滤防火墙根据预先定义好的规则来决定接受或拒绝IP数据包。通过包过滤，该防火墙仔细的检查每一个数据包的协议和地址信息;数据包的内容不检查。

        包过滤防火墙检查每一个传入包，查看包中可用的基本信息(源地址和目的地址、端口号、协议等)。然后，将这些信息与设立的规则相比较。举个例子来说，如果你设定了规则阻挡外网用户对内网计算机或设备使用telnet，而包的目的端口是23的话，那么该包就会被丢弃。

       图1、包过滤防火墙

        多个复杂规则的组合也是可行的。如果允许Web连接，但只针对特定的服务器，目的端口和目的地址二者必须与规则相匹配，才可以让该包通过。

        主要优势：

        包过滤防火墙相对比较简单，成本较低，部署简单快速。

        现在单纯的硬件包过滤防火墙已经比较少，不过多数防火墙中都具有包过滤功能。而一般家用和小企业用的软件防火墙多数属于此类防火墙，Windows早期内置的防火墙就属于包过滤防火墙。另外，对于使用Linux操作系统的朋友来说，也可以配置其自带防火墙实现包过滤功能。

       三、链路级防火墙

        这类防火墙不是简单的接受或拒绝数据包，它还根据一系列预定义规则来决定一个连接是否合法。如果一切通过验证，防火墙会打开一个会话，并允许指定源地址的数据通过防火墙进入网络内部。这个通信只被允许在限定时间内进行。

       图2、链路级防火墙

        另外，这个防火墙还可以根据以下对象来执行连接验证，例如源IP地址或源端口，目的IP地址或目的端口，使用的协议，用户ID，密码和时间等等，多数情况下要根据几种条件的组合来进行验证。我们可以看出，包级别的过滤在这种防火墙中也可能发生。

        主要优点：

        ·链路级防火墙通常比应用层防火墙更快，因为它们执行更少的操作;

        ·通过禁用特定互联网源地址与内部计算机的连接，链路级防火墙可以帮助保护整个网络;

        ·通过与网络地址解析联合使用，你可以使用链路级防火墙来阻止外部用户访问内部网络IP地址。

        主要缺点：

        ·运行在传输层，因此必须要对传输函数编程进行比较大的修改。这可能影响到网络的性能和运行。

        ·链路级防火墙需要安装人员和维护人员具有一定的专业知识。

       四、应用级防火墙

        在这种防火墙实现方式中，防火墙的角色是一个应用程序代理，与远端系统实现所有数据交换。这种防火墙背后的设计思想是让所有服务器藏在防火墙后面，对远端系统不可见。

        一个应用层防火墙可以根据特定规则来接受或拒绝通信。举个例子来说，这种防火墙可以允许某些命令被传送到一个服务器上，而拒绝其它命令。这个技术还可以被用来限制访问特定的文件类型，同样也可以为授权和未授权用户提供不同级别的访问级别。

       图3、应用级防火墙

        对于那些喜欢对网络流量进行详细监控和记录日志的用户来说，可能会比较喜欢应用层防火墙，因为使用应用防火墙实现这些功能非常简单，而且不会进一步影响性能。IT管理员可以设定一个应用层防火墙来实现在预定义事件发生的时候触发报警器和发出提示。应用程序网关一般被部署在一台单独的联网计算机上，人们通常称之为代理服务器。

        除了上述三种类型的防火墙外，还有一种状态检查多级防火墙，这类防火墙通常由厂商作为“最佳品牌”解决方案来提供，目的是将前面几种防火墙的优点组合起来。状态防火墙可以执行网络包过滤，同时还可以识别和处理应用层的数据。这类防火墙通常可以提供超强网络保护，但是价格可能比较昂贵。

        另外值得注意的是，多数防火墙厂商提供了一系列的辅助功能，来提供那些基本防火墙服务之外的功能。此类的功能包括反病毒保护，内容过滤，入侵防护和网络行为和使用报表。随着网络安全的迅速发展，对于企业来说，购买一个可以轻松升级到更高性能和更多新功能的产品，这是一个不错的观点。

       为了解决互联网时代个人网络安全的问题，近年来新兴了防火墙技术[2]。防火墙具有很强的实用性和针对性，它为个人上网用户提供了完整的网络安全解决方案，可以有效地控制个人电脑用户信息在互联网上的收发。用户可以根据自己的需要，通过设定一些参数，从而达到控制本机与互联网之间的信息交流阻止恶性信息对本机的攻击，比如ICMPnood攻击、聊天室炸弹、木马信息破译并修改邮件密码等等。而且防火墙能够实时记录其它系统试图对本机系统的访问，使计算机在连接到互联网的时候避免受到网络攻击和资料泄漏的安全威胁。防火墙可以保护人们在网上浏览时免受黑客的攻击，实时防范网络黑客的侵袭，还可以根据自己的需要创建防火墙规则，控制互联网到PC以及PC到互联网的所有连接，并屏蔽入侵企图。防火可以有效地阻截各种恶意攻击、保护信息的安全;信息泄漏拦截保证安全地浏览网页、遏制邮件病毒的蔓延;邮件内容检测可以实时监视邮件系统，阻挡一切针对硬盘的恶意活动。

        个人防火墙就是在单机Windows系统上，采取一些安全防护措施，使得本机的息得到一定的保护。个人防火墙是面向单机操作系统的一种小型安全防护软件，按一定的规则对TCP，UDP，ICMP和IGMP等报文进行过滤，对网络的信息流和系统进程进行监控，防止一些恶意的攻击。目前市场上大多数的防火墙产品仅仅是网关的，虽然它们的功能相当强大，但由于它们基于下述的假设:内部网是安全可靠的，所有的威胁都来自网外。因此，他们防外不防内，难以实现对企业内部局域网内主之间的安全通信，也不能很好的解决每一个拨号上网用户所在主机的安全问题，而多数个人上网之时，并没有置身于得到防护的安全网络内部。

        个人上网用户多使用Windows操作系统，而Windows操作系统，特别是WindowsXP系统，本身的安全性就不高。各种Windows漏洞不断被公布，对主机的攻击也越来越多。一般都是利用操作系统设计的安全漏洞和通信协议的安全漏洞来实现攻击。如假冒IP包对通信双方进行欺骗:对主机大量发送正数据包[3]进行轰炸攻击，使之际崩溃;以及蓝屏攻击等。因此，为了保护主机的安全通信，研制有效的个人防火墙技术很有必要。

        防火墙的基本功能有:过滤进出网络的数据；管理进出网络的访问行为；封堵某些禁止的业务； 记录通过防火墙的信息内容和活动；对网络攻击进行检测和报警

       好了，今天关于防火墙的作用和意义就到这里了。希望大家对防火墙的作用和意义有更深入的了解，同时也希望这个话题防火墙的作用和意义的解答可以帮助到大家。