防火牆是如何實現網路安全的

Ⅰ 計算機防火牆原理

眾所周知，互聯網上存在大量的非法信息攻擊和不安全行為，不僅給用戶造成了嚴重的經濟損失，也給網路安全帶來了極大的威脅，因此，網路安全防護是非常重要的。由於網路世界存在著各種漏洞、病毒、木馬等等各種攻擊的存在，而且是非常頻繁。由於各種原因導致了網路安全威脅的日益嚴重，各種網路攻擊也層出不窮。那麼對於網路安全防禦系統來說呢？其實網路安全防火牆就是將計算機主機和互聯網上存在的不安全因素隔離開來。

Ⅱ 什麼是防火牆，以及防火牆可以實現什麼功能.

火牆定義

防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體(其中硬體防火牆用的很少只有國防部等地才用,因為它價格昂貴)。該計算機流入流出的所有網路通信均要經過此防火牆。

防火牆的功能

防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

為什麼使用防火牆

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

防火牆的類型

防火牆有不同類型。一個防火牆可以是硬體自身的一部分，你可哪梁以將網際網路連接和計算機都插入其中。防火牆也可以在一個獨立的機器上運行，該機器作為它背後網路中所有計算機的代理和防火牆。最後，直接連在網際網路的機器可以使用個人防火牆。

防火牆的概念

當然，既然打算由淺入深的來了解，就要先看看防火牆的概念了。防火牆是汽車中一個部件的名稱。在汽車中，利用防火牆把乘客和引擎隔開，以便汽車引擎一旦著火，防火牆不但能保護乘客安全，而同時還能讓司機繼續控制引擎。再電腦術語中，當然就不是這個意思了，我們可以類比來理解，在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

防火牆的功能

防火牆是網路安全的配知屏障：

一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同培緩消時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

防火牆可以強化網路安全策略：

通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完全可以不必分散在各個主機上，而集中在防火牆一身上。

對網路存取和訪問進行監控審計：

如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄：

通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。

除了安全作用，防火牆還支持具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。

防火牆的英文名為「FireWall」，它是目前一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組組件集合。

防火牆在網路中經常是以下圖所示的兩種圖標出現的。左邊那個圖標非常形象，真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的，在圖標中有一個二極體圖標。而二極體我們知道，它具有單向導電性，這樣也就形象地說明了防火牆具有單向導通性。這看起來與現在防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的，而對外部網路卻總是不信任的，所以最初的防火牆是只對外部進來的通信進行過濾，而對內部網路用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變，不僅對外部網路發出的通信連接要進行過濾，對內部網路用戶發出的部分連接請求和數據包同樣需要過濾，但防火牆仍只對符合安全策略的通信通過，也可以說具有「單向導通」性。

防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為「防火牆」。其實與防火牆一起起作用的就是「門」。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這里所講的防火牆的「安全策略」，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的「單向導通性」。

我們通常所說的網路防火牆是借鑒了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網（LAN）網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。典型的防火牆具有以下三個方面的基本特性：

（一）內部網路和外部網路之間的所有網路數據流都必須經過防火牆

這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道，才可以全面、有效地保護企業網部網路不受侵害。

根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網路的服務和訪問的審計和控制。

典型的防火牆體系網路結構如下圖所示。從圖中可以看出，防火牆的一端連接企事業單位內部的區域網，而另一端則連接著互聯網。所有的內、外部網路之間的通信都要經過防火牆。

（二）只有符合安全策略的數據流才能通過防火牆

防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台「雙穴主機」，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。如下圖：

（三）防火牆自身應具有非常強的抗攻擊免疫力

這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。

目前國內的防火牆幾乎被國外的品牌占據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內用戶了解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、聯想、方正等，它們都提供不同級別的防火牆產品。來自:引用

Ⅲ 防火牆在網路中承擔哪些安全防護工作

防火牆是設置在被保護網路和外部畢行網路之間的一道屏障，實行枯現網路的安全保護，以防止發手帶嘩生不可預測的、潛在破壞性的侵入。

Ⅳ 防火牆的工作原理是什麼！

防火牆的工作原理是什麼！

:itcso./news/20060324/1044465098-2.s

防火牆的原理是指設定在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。它是不同網路或網路安全域之間資訊的唯一出入口，通過監測、限制、更改跨越防火牆的資料流，盡可能地對外部遮蔽網路內部的資訊、結構和執行狀況，有選擇地接受外部訪問，對內部強化裝置監管、控制對伺服器與外部網路的訪問，在被保護網路和外部網路之間架起一道屏障，以防止發生不可預測的、潛在的破壞性侵入。防火牆有兩種，硬體防火牆和軟體防火牆，他們都能起到保護作用並篩選出網路上的攻擊者，防火牆通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務，包過濾技術是一種簡單、有效的安全控制技術，它通過在網路間相互連線的裝置上載入允許、禁止來自某些特定的源地址、目的地址、TCP埠號等規則，對通過裝置的資料包進行檢查，限制資料包進出內部網路。包過濾的最大優點是對使用者透明，傳輸效能高。但由於安全控制層次在網路層、傳輸層，安全控制的力度也只限於源地址、目的地址和埠號，因而只能進行較為初步的安全控制，對於惡意的擁塞攻擊、記憶體覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。
狀態檢測是比包過濾更為有效的安全控制方法。對新建的應用連線，狀態檢測檢查預先設定的安全規則，允許符合規則的連線通過，並在記憶體中記錄下該連線的相關資訊，生成狀態表。對該連線的後續資料包，只要符合狀態表，就可以通過。這種方式的好處在於：由於不需要對每個資料包進行規則檢查，而是一個連線的後續資料包（通常是大量的資料包）通過雜湊演演算法，直接進行狀態檢查，從而使得效能得到了較大提高；而且，由於狀態表是動態的，因而可以有選擇地、動態地開通1024號以上的埠，使得安全性得到進一步地提高，希望回答可以幫到你。

防火牆的工作原理?

防火牆主要用語對付黑客用的。可以降低中毒機率。要防毒還得靠防毒軟體
防火牆能增強機構內部網路的安全性。防火牆系統決定了哪些內部服務可以被外界訪問；外界的哪些人可以訪問內部的服務以及哪些外部服務可以被內部人員訪問。防火牆必須只允許授權的資料通過，而且防火牆本身也必須能夠免於滲透。

防火牆的五大功能
一般來說，防火牆具有以下幾種功能：
1．允許網路管理員定義一個中心點來防止非法使用者進入內部網路。
2．可以很方便地監視網路的安全性，並報警。
3．可以作為部署NAT（Neork Address Translation，網路地址變換）的地點，利用NAT技術，將有限的IP地址動態或靜態地與內部的IP地址對應起來，用來緩解地址空間短缺的問題。
4．是審計和記錄Inter使用費用的一個最佳地點。網路管理員可以在此向管理部門提供Inter連線的費用情況，查出潛在的頻寬瓶頸位置，並能夠依據本機構的核算模式提供部門級的計費。

計算機防火牆的工作原理是什麼

在計算機和你網好知路間 插入一個過濾系統
這個過濾系統 可以認為定義一些 規則，那些是好的流量那些事違規的流量，好的就轉發，或者違規的就丟掉。
定義一些資料包的行為，那些包的行為師攻擊行為，該做出是那麼樣的防範。
這么一些個系統就叫做防火牆。

arp防火牆的工作原理

比如說有一個盲人，他的孫子只要從他面前走過，他總會給孫子一塊糖吃，於了有一些搗亂的小孩子就會反復的從他面燃宏前走過，裝孫子，騙糖吃，這個盲人不高興了，他就養了一條狗，這個狗可以看得見，可以記得誰是真的孫子，誰是裝孫子，以後誰要再來裝孫子就會被狗咬了，ARP防火牆有點像那條狗的作用，分出誰是真的，誰是假的。對於一般使用者，就是記得正確有閘道器MAC地址。

防火牆的工作原理事什麼

網路層防火牆可視為一種 IP 封包過濾友段消器，運作在底層的 TCP/IP 協議堆疊上。我們可以以列舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆（病毒除外，防火牆不能防止病毒侵入）。這些規則通常可以經由管理員定義或修改，不過某些防火牆裝置可能只能套用內建的規則。
我們也能以另一種較寬松的角度來制定防火牆規則，只要封包不符合任何一項「否定規則」就予以放行。現在的作業系統及網路裝置大多已內建防火牆功能。
較新的防火牆能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源埠號、目的 IP 地址或埠號、服務型別(如 或是 FTP)。也能經由通訊協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

防火牆的基本工作原理是什麼

任何計算機病毒實際上都是計算機程式程式碼，是一段程式，是一串數字的排列組合。就像每個指紋具有的其他人沒有的特徵一樣，病毒程式中必然有獨有的、其它程式所不具備的排列方式。稱為病毒特徵碼。
病毒軟體公司的一個基本工作就是發現新病毒，並找出其特徵碼。我們升級病毒庫，就是把特徵碼存在計算機 *** 防火牆和防毒軟體使用。
病毒防火牆的功能，就是在資料流動的位置，用毒特徵碼和資料流中的資料對比，一旦發現和 病毒特徵碼相同的資料，就認為是發現病毒，採取相應措施。（防毒軟體是和硬碟及記憶體中的資料比對，防火牆只管進出計算機的資料流）
由於病毒有上萬種，計算機中的資料流動途徑也有多種，所以如何比對，在那個位置比對，以達到又快又不出錯，是考驗各種防火牆技術水平的。
另外從什麼途徑獲得病毒特徵碼也很重要。大多防毒商都會共享資料，但如果某一家老是不能發現新病毒，並找出其特徵碼的能力，大家就會「不帶它玩」

請教防火牆的工作原理

防火牆就是一種過濾塞（目前你這么理解不算錯），你可以讓你喜歡的東西通過這個塞子，別的玩意都統統過濾掉。在網路的世界裡，要由防火牆過濾的就是承載通訊資料的通訊包。
天下的防火牆至少都會說兩個詞：Yes或者No。直接說就是接受或者拒絕。最簡單的防火牆是乙太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆採用的技術和標准可謂五花八門。這些防火牆的形式多種多樣：有的取代系統上已經裝備的T CP/IP協議棧；有的在已有的協議棧上建立自己的軟體模組；有的乾脆就是獨立的一套作業系統。還有一些應用型的防火牆只對特定型別的網路連線提供保護（比如S MTP或者HTTP協議等）。還有一些基於硬體的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆，因為他們的工作方式都是一樣的：分析出入防火牆的資料包，決定放行還是把他們扔到一邊。
所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖，兩個網段之間隔了一個防火牆，防火牆的一端有台U NIX計算機，另一邊的網段則擺了台PC客戶機。

防火牆的工作原理? 怎麼工作的啊》》？

什麼是防火牆?
防火牆就是一種過濾塞(目前你這么理解不算錯)，你可以讓你喜歡的東西通過這個塞子，別的玩意都統統過濾掉。在網路的世界裡，要由防火牆過濾的就是承載通訊資料的通訊包。
天下的防火牆至少都會說兩個詞：Yes或者No。直接說就是接受或者拒絕。最簡單的防火牆是乙太網橋。但幾乎沒有人會認為這種原始防火牆能管多大用。大多數防火牆採用的技術和標准可謂五花八門。這些防火牆的形式多種多樣：有的取代系統上已經裝備的TCP/IP協議棧;
有的在已有的協議棧上建立自己的軟體模組;有的乾脆就是獨立的一套作業系統。還有一些應用型的防火牆只對特定型別的網路連線提供保護(比如 SMTP或者HTTP協議等)。還有一些基於硬體的防火牆產品其實應該歸入安全路由器一類。以上的產品都可以叫做防火牆，因為他們的工作方式都是一樣的：分析出入防火牆的資料包，決定放行還是把他們扔到一邊。
所有的防火牆都具有IP地址過濾功能。這項任務要檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定。看看下面這張圖，兩個網段之間隔了一個防火牆，防火牆的一端有台UNIX計算機，另一邊的網段則擺了台PC客戶機。
防火牆說明
當PC客戶機向UNIX計算機發起tel請求時，PC的tel客戶程式就產生一個TCP包並把它傳給本地的協議棧准備傳送。接下來，協議棧將這個TCP包「塞」到一個IP包里，然後通過PC機的TCP/IP棧所定義的路徑將它傳送給UNIX計算機。在這個例子里，這個IP包必須經過橫在PC和UNIX計算機中的防火牆才能到達UNIX計算機。
現在我們「命令」(用專業術語來說就是配製)防火牆把所有發給UNIX計算機的資料包都給拒了，完成這項工作以後，「心腸」比較好的防火牆還會通知客戶程式一聲呢!既然發向目標的IP資料沒法轉發，那麼只有和UNIX計算機同在一個網段的使用者才能訪問UNIX計算機了。
防火牆說明2
還有一種情況，你可以命令防火牆專給那台可憐的PC機找茬，別人的資料包都讓過就它不行。這正是防火牆最基本的功能：根據IP地址做轉發判斷。但要上了大場面這種小伎倆就玩不轉了，由於黑客們可以採用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的防火牆了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了
伺服器TCP/UDP 埠過濾
僅僅依靠地址進行資料過濾在實際運用中是不可行的，還有個原因就是目標主機上往往執行著多種通訊服務，比方說，我們不想讓使用者採用 tel的方式連到系統，但這絕不等於我們非得同時禁止他們使用SMTP/POP郵件伺服器吧?所以說，在地址之外我們還要對伺服器的TCP/ UDP埠進行過濾。
防火牆3
比如，預設的tel服務連線埠號是23。假如我們不許PC客戶機建立對UNIX計算機(在這時我們當它是伺服器)的tel連線，那麼我們只需命令防火牆檢查傳送目標是UNIX伺服器的資料包，把其中具有23目標埠號的包過濾就行了。這樣，我們把IP地址和目標伺服器 TCP/UDP埠結合起來不就可以作為過濾標准來實現相當可靠的防火牆了嗎?不，沒這么簡單。
客戶機也有TCP/UDP埠
TCP/IP是一種端對端協議，每個網路節點都具有唯一的地址。網路節點的應用層也是這樣，處於應用層的每個應用程式和服務都具有自己的對應 「地址」，也就是埠號。地址和埠都具備了才能建立客戶機和伺服器的各種應用之間的有效通訊聯絡。比如，tel伺服器在埠23偵聽入站連線。同時tel客戶機也有一個埠號，否則客戶機的IP棧怎麼知道某個資料包是屬於哪個應用程式的呢?
由於歷史的原因，幾乎所有的TCP/IP客戶程式都使用大於1023的隨機分配埠號。只有UNIX計算機上的root使用者才可以訪問1024 以下的埠，而這些埠還保留為伺服器上的服務所用。所以，除非我們讓所有具有大於1023埠號的資料包進入網路，否則各種網路連線都沒法正常工作。
這對防火牆而言可就麻煩了，如果阻塞入站的全部埠，那麼所有的客戶機都沒法使用網路資源。因為伺服器發出響應外部連線請求的入站(就是進入防火牆的意思)資料包都沒法經過防火牆的入站過濾。反過來，開啟所有高於1023的埠就可行了嗎?也不盡然。由於很多服務使用的埠都大於1023，比如 X client、基於RPC的NFS服務以及為數眾多的非UNIX IP產品等(NetWare/IP)就是這樣的。那麼讓達到1023埠標準的資料包都進入網路的話網路還能說是安全的嗎?連這些客戶程式都不敢說自己是足夠安全的。
防火牆4
雙向過濾
OK，咱們換個思路。我們給防火牆這樣下命令：已知服務的資料包可以進來，其他的全部擋在防火牆之外。比如，如果你知道使用者要訪問Web伺服器，那就只讓具有源埠號80的資料包進入網路：
防火牆5
不過新問題又出現了。首先，你怎麼知道你要訪問的伺服器具有哪些正在執行的埠號呢? 象HTTP這樣的伺服器本來就是可以任意配置的，所採用的埠也可以隨意配置。如果你這樣設定防火牆，你就沒法訪問哪些沒採用標准埠號的的網路站點了! 反過來，你也沒法保證進入網路的資料包中具有埠號80的就一定來自Web伺服器。有些黑客就是利用這一點製作自己的入侵工具，並讓其執行在本機的80埠!
檢查ACK位
源地址我們不相信，源埠也信不得了，這個不得不與黑客共舞的瘋狂世界上還有什麼值得我們信任呢?還好，事情還沒到走投無路的地步。對策還是有的，不過這個辦法只能用於TCP協議。
TCP是一種可靠的通訊協議，「可靠」這個詞意味著協議具有包括糾錯機制在內的一些特殊性質。為了實現其可靠性，每個TCP連線都要先經過一個 「握手」過程來交換連線引數。還有，每個傳送出去的包在後續的其他包被發送出去之前必須獲得一個確認響應。但並不是對每個TCP包都非要採用專門的ACK 包來響應，實際上僅僅在TCP包頭上設定一個專門的位就可以完成這個功能了。所以，只要產生了響應包就要設定ACK位。連線會話的第一個包不用於確認，所以它就沒有設定ACK位，後續會話交換的TCP包就要設定ACK位了。
防火牆6
舉個例子，PC向遠端的Web伺服器發起一個連線，它生成一個沒有設定ACK位的連線請求包。當伺服器響應該請求時，伺服器就發回一個設定了 ACK位的資料包，同時在包里標記從客戶機所收到的位元組數。然後客戶機就用自己的響應包再響應該資料包，這個資料包也設定了ACK位並標記了從伺服器收到的位元組數。通過監視ACK位，我們就可以將進入網路的資料限制在響應包的范圍之內。於是，遠端系統根本無法發起TCP連線但卻能響應收到的資料包了。
這套機制還不能算是無懈可擊，簡單地舉個例子，假設我們有台內部Web伺服器，那麼埠80就不得不被開啟以便外部請求可以進入網路。還有，對 UDP包而言就沒法監視ACK位了，因為UDP包壓根就沒有ACK位。還有一些TCP應用程式，比如FTP，連線就必須由這些伺服器程式自己發起。
FTP帶來的困難
一般的Inter服務對所有的通訊都只使用一對埠號，FTP程式在連線期間則使用兩對埠號。第一對埠號用於FTP的「命令通道」提供登入和執行命令的通訊鏈路，而另一對埠號則用於FTP的「資料通道」提供客戶機和伺服器之間的檔案傳送。
在通常的FTP會話過程中，客戶機首先向伺服器的埠21(命令通道)傳送一個TCP連線請求，然後執行LOGIN、DIR等各種命令。一旦使用者請求伺服器傳送資料，FTP伺服器就用其20埠(資料通道)向客戶的資料埠發起連線。問題來了，如果伺服器向客戶機發起傳送資料的連線，那麼它就會發送沒有設定ACK位的資料包，防火牆則按照剛才的規則拒絕該資料包同時也就意味著資料傳送沒戲了。通常只有高階的、也就是夠聰明的防火牆才能看出客戶機剛才告訴伺服器的埠，然後才許可對該埠的入站連線。
UDP埠過濾
好了，現在我們回過頭來看看怎麼解決UDP問題。剛才說了，UDP包沒有ACK位所以不能進行ACK位過濾。UDP 是發出去不管的「不可靠」通訊，這種型別的服務通常用於廣播、路由、多媒體等廣播形式的通訊任務。NFS、DNS、WINS、NetBIOS-over- TCP/IP和 NetWare/IP都使用UDP。
看來最簡單的可行辦法就是不允許建立入站UDP連線。防火牆設定為只許轉發來自內部介面的UDP包，來自外部介面的UDP包則不轉發。現在的問題是，比方說，DNS名稱解析請求就使用UDP，如果你提供DNS服務，至少得允許一些內部請求穿越防火牆。還有IRC這樣的客戶程式也使用UDP，如果要讓你的使用者使用它，就同樣要讓他們的UDP包進入網路。我們能做的就是對那些從本地到可信任站點之間的連線進行限制。但是，什麼叫可信任!如果黑客採取地址欺騙的方法不又回到老路上去了嗎?
有些新型路由器可以通過「記憶」出站UDP包來解決這個問題：如果入站UDP包匹配最近出站UDP包的目標地址和埠號就讓它進來。如果在記憶體中找不到匹配的UDP包就只好拒絕它了!但是，我們如何確信產生資料包的外部主機就是內部客戶機希望通訊的伺服器呢?如果黑客詐稱DNS伺服器的地址，那麼他在理論上當然可以從附著DNS的UDP埠發起攻擊。只要你允許DNS查詢和反饋包進入網路這個問題就必然存在。辦法是採用代理伺服器。
所謂代理伺服器，顧名思義就是代表你的網路和外界打交道的伺服器。代理伺服器不允許存在任何網路內外的直接連線。它本身就提供公共和專用的 DNS、郵件伺服器等多種功能。代理伺服器重寫資料包而不是簡單地將其轉發了事。給人的感覺就是網路內部的主機都站在了網路的邊緣，但實際上他們都躲在代理的後面，露面的不過是代理這個假面具。
小結
IP地址可能是假的，這是由於IP協議的源路有機制所帶來的，這種機制告訴路由器不要為資料包採用正常的路徑，而是按照包頭內的路徑傳送資料包。於是黑客就可以使用系統的IP地址獲得返回的資料包。有些高階防火牆可以讓使用者禁止源路由。通常我們的網路都通過一條路徑連線ISP，然後再進入 Inter。這時禁用源路由就會迫使資料包必須沿著正常的路徑返回。
還有，我們需要了解防火牆在拒絕資料包的時候還做了哪些其他工作。比如，防火牆是否向連線發起系統發回了「主機不可到達」的ICMP訊息?或者防火牆真沒再做其他事?這些問題都可能存在安全隱患。ICMP「主機不可達」訊息會告訴黑客「防火牆專門阻塞了某些埠」，黑客立即就可以從這個訊息中聞到一點什麼氣味。如果ICMP「主機不可達」是通訊中發生的錯誤，那麼老實的系統可能就真的什麼也不傳送了。反過來，什麼響應都沒有卻會使發起通訊的系統不斷地嘗試建立連線直到應用程式或者協議棧超時，結果終端使用者只能得到一個錯誤資訊。當然這種方式會讓黑客無法判斷某埠到底是關閉了還是沒有使用。

Ⅳ 防火牆是怎麼實現的

1.所謂防火牆指的是一個由軟體和硬體設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火牆就是一個位於計算機和它所連接的網路之間的軟體或硬體。該計算機流入流出的所有網路通信和數據包含早均要經過此防尺老慶火牆。
2.在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將陵握你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通信。

Ⅵ 防火牆的工作原理是什麼

防火牆的原理是指設置在不同網路（如可信任的企業內肢肆歲部網和不可信的公共網）或網路安全域之間的一系列部件的組合。

它是不同網路或網路安全域之間信息的唯一出入口，通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網路內部的信息、結構和運行狀況，有選擇地接受外部訪問。

對內部強化設備監管、控制對伺服器與外部網路的訪問，在被保護網路和外部網路之間架起一道屏障，以防止發生不可預測的、潛在的破壞性侵入。

防火牆有兩種，硬體防火牆和軟體防火牆，都能起到保護作用並篩選出網路上的攻擊者。

防火牆通常使用的安全控制手段主要有包過濾、狀態檢測、代理服務，包過濾技術是一種簡單、有效的安全控制技術。

它通過在網路間相互連接的設備上載入允許、禁止來自雹伍某些特定的源地址、目的地址、TCP埠號等規則，對通過設備的數據包進行檢查，限制數據包進出內部網路。

包過濾的最大優點是對用戶透明，傳輸性能高。

但由於安全控制層次在網路層、傳輸層，安全控制的力度也只限於源地址。

目的地址和埠號，因而只能進行較為初步的安全控制，對於惡意的擁塞攻擊、內存覆蓋攻擊或病毒等高層次的攻擊手段，則無能為力。

(6)防火牆是如何實現網路安全的擴展閱讀

防火牆基本特性

1、內部網路和外部網路之間的所有網路數據流都必須經過防火牆

這是防火牆所處網路位置特性，同時也是一個前提。

因為只有當防火牆是內、外部網路之間通信的唯一通道，才可以全面、有效地保護企業歷睜網內部網路不受侵害。

根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。

所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。

防火牆的目的就是在網路連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網路的服務和訪問的審計和控制。

所有的內、外部網路之間的通信都要經過防火牆。

2、只有符合安全策略的數據流才能通過防火牆

防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。

從最早的防火牆模型開始談起，原始的防火牆是一台「雙穴主機」，即具備兩個網路介面，同時擁有兩個網路層地址。

防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳。

在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。

因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。

Ⅶ 簡述防火牆的作用及其安全方案

防火牆的作用：

1、過濾進出網路的數據。

2、管理進出訪問網路的行為。

3、封堵某些禁止業務。

4、記錄通過防火牆信息內容和活動。

5、對網路攻擊檢測和告警。

安全方案：

防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。

防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。

(7)防火牆是如何實現網路安全的擴展閱讀：

區域網內部，不連接互聯網外網的一般是不需要防火牆，監控單獨一個網路的時候才需要，一般都接在區域網內，通過路由器處的防火牆，而大型網路連接外網的，是需要防火牆的。

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等。

Ⅷ 試述防火牆在網路安全中所起的作用。

【答案】：(1)網路安全的控制。保護那些易受攻擊的服務。防火牆能過濾掉那些不安全的服務和請求而降低網路洞並安全的風險，能夠監測、限制信息流從一個安全控制點進入或離開。只有預先被允許的服務才能通過防火牆，這樣就降低了受到非法攻擊的風險，大大提高了網路的安全性; (2)屏蔽內部信息。使用防火牆就是要使內部網路與外部網路隔斷，讓外部網路的用戶在未經授權的情況下不能訪問內部網路，並盡可能的隱藏內部信息、結構、運行情況;通過防火牆對內部網路的劃分，還可以實現對重點網路的隔離; (3)控制對特殊站點的訪問。防火牆能控制對特殊站點的訪問。如有些主機能被外部網路訪問，而有些則要被保護起來，防止不必要的訪問。通常會有這樣一種情況，在內部網中只有E-Mail伺服器、FTP伺服器和 WWW伺服器能被外部網訪問，而其他訪問則被主機禁止; (4)集中化的安全管理。對於一個公司來說，使用防火牆比不使用防火牆可能更加經濟一些。這是因為如果使用了防火牆，就可以將所有修改過的軟體和附加的安全軟體都放在防火牆上。而不使用防火牆，就必須將所有軟體分到各個主機上; (5)提供日誌和審計功能，對網路存取訪問進行記錄和統計。由於所渣橡有對 Internet的訪問都經過防火牆，防火牆就能將所有訪問都記錄到日誌文件中，同時也能提供網路流量及網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的告警，並提供網路是否受到監測和攻擊的詳細信息; (6)提供報警服務。當有潛在的威脅的訪問或請求經過防火牆時，防火牆不僅應該記錄其動作，還應及時向系統管理納梁跡員報警。

Ⅸ 防火牆是如何解決網路的安全問題

防火牆最基本的功能就是控制在計算機網路中，不同信任程度區域間傳送的數據流。例如互聯網是不可信任的區域，而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信，與建築中的防火牆功能相似。它有控制信息基本的任務在不同信任的區域。 典型信任的區域包括互聯網(一個沒有信任的區域) 和一個內部網路(一個高信任的區域) 。 最終目標是提供受控連通性在不同水平的信任區域通過安全政策的運行和連通性模型之間根據最少特權原則。 例如：TCP/IP Port 135~139是 Microsoft Windows 的【網上鄰居】所使用的。如果計算機有使用【網上鄰居】的【共享文件夾】，又沒使用任何防火牆相關的防護措施的話，就等於把自己的【共享文件夾】公開到Internet，供不特定的任何人有機會瀏覽目錄內的文件。且早期版本的Windows有【網上鄰居】系統溢出的無密碼保護的漏洞（這里是指【共享文件夾】有設密碼，但可經由此系統漏洞，達到無須密碼便能瀏覽文件夾的需求）。 防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬。最後，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。
網路安全的屏障
一個防火牆（作為阻塞點、控制點）能極大地提高一個內部網路的安全性，並通過過濾不安全的服務而降低風險。由於只有經過精心選擇的應用協議才能通過防火牆，所以網路環境變得更安全。如防火牆可以禁止諸如眾所周知的不安全的NFS協議進出受保護網路，這樣外部的攻擊者就不可能利用這些脆弱的協議來攻擊內部網路。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上類型攻擊的報文並通知防火牆管理員。
強化網路安全策略
通過以防火牆為中心的安全方案配置，能將所有安全軟體（如口令、加密、身份認證、審計等）配置在防火牆上。與將網路安全問題分散到各個主機上相比，防火牆的集中安全管理更經濟。例如在網路訪問時，一次一密口令系統和其它的身份認證系統完可以不必分散在各個主機上，而集中在防火牆一身上。
對網路存取和訪問進行監控審計
如果所有的訪問都經過防火牆，那麼，防火牆就能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計數據。當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細信息。另外，收集一個網路的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。而網路使用統計對網路需求分析和威脅分析等而言也是非常重要的。
防止內部信息的外泄
通過利用防火牆對內部網路的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網路安全問題對全局網路造成的影響。再者，隱私是內部網路非常關心的問題，一個內部網路中不引人注意的細節可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最後登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統使用的頻繁程度，這個系統是否有用戶正在連線上網，這個系統是否在被攻擊時引起注意等等。防火牆可以同樣阻塞有關內部網路中的DNS信息，這樣一台主機的域名和IP地址就不會被外界所了解。