網路防火牆是什麼

1. 防火牆是什麼意思

在計算機科學領域中，防火牆（英語：Firewall）是一種通過基於一組用戶定義的規則過濾入站和出站網路流量來提供網路安全的系統。通常，防火牆的目的是減少或消除不希望的網路通信的發生，同時允許所有合法通信自由流動。

在大多數伺服器基礎架構中，防火牆提供了一個重要的安全層，結合其他措施，防止攻擊者以惡意方式訪問您的伺服器。

防火牆可能是一台專屬的網路設備或是運行於主機上來檢查各個網路介面上的網路傳輸。它是當前最重要的一種網路防護設備，從專業角度來說，防火牆是位於兩個(或多個)網路間，實行網路間訪問或控制的一組組件集合之硬體或軟體。

專業的防火牆通常為網路設備，或是擁有2個以上網路介面的計算機。以作用的TCP/IP堆棧區分，主要分為網路層防火牆和應用層防火牆兩種，但也有些防火牆是同時運作於網路層和應用層。

(1)網路防火牆是什麼擴展閱讀：

防火牆最基本的功能就是隔離網路，通過將網路劃分成不同的區域（通常情況下稱為ZONE），制定出不同區域之間的訪問控制策略來控制不同信任程度區域間傳送的數據流。

例如互聯網是不可信任的區域，而內部網路是高度信任的區域。以避免安全策略中禁止的一些通信。它有控制信息基本的任務在不同信任的區域。

典型信任的區域包括互聯網(一個沒有信任的區域)和一個內部網路(一個高信任的區域)。最終目標是：根據最少特權原則，在不同水平的信任區域，通過連通安全政策的運行，提供受控制的連通性。

例如「TCP/IPPort 135~139」是Microsoft Windows的網上鄰居所使用的。如果計算機有使用網上鄰居的共享文件夾，又沒使用任何防火牆相關的防護措施的話，就等於把自己的共享文件夾公開到Internet，供不特定的任何人有機會瀏覽目錄內的文件。

且早期版本的Windows有網上鄰居系統溢出的無密碼保護的漏洞（這里是指共享文件夾有設密碼，但可經由此系統漏洞，達到無須密碼便能瀏覽文件夾的需求）。

參考資料來源：網路——防火牆

2. 什麼是防火牆防火牆的類型有哪些

防火牆技術是通過有機結合各類用於安全管理與篩選的軟體和硬體設備，幫助計算機網路於其內、外網之間構建一道相對隔絕的保護屏障，以保護用戶資料與信息安全性的一種技術。

防火牆的主要類型

1、過濾防火牆

過濾防火牆，顧名思義，就是在計算機網路中起一個過濾的作用。這種防火牆會根據已經預設好的過濾規則，對在網路中流動的數據包進行過濾行為。如果符合過濾規則的數據包會被放行，如果數據包不滿足過濾規則，就會被刪除。數據包的過濾規則是基於數據包報審的特徵的。防火牆通過檢查數據包的源頭IP地址，目的IP地址，數據包遵守的協議，埠號等特徵來完成。第一代的防火牆就屬於過濾防火牆。

2、應用網關防火牆

已經介紹了的過濾防火牆在OSI七層協議中主要工作在數據鏈路層和IP層。與之不同的是，應用網關防火牆主要工作在最上層應用層。不僅如此，相比於基於過濾的防火牆來說，應用網關防火牆最大的特點是有一套自己的邏輯分析。基於這個邏輯分析，應用網關伺服器在應用層上進行危險數據的過濾，分析內部網路應用層的使用協議，並且對計算機網路內部的所有數據包進行分析，如果數據包沒有應用邏輯則不會被放行通過防火牆。

3、服務防火牆

上述的兩種防火牆都是應用在計算機網路中來阻擋惡意信息進入用戶的電腦的。服務防火牆則有其他的應用場景，服務防火牆主要用於伺服器的保護中。在現在的應用軟體中，往往需要通過和伺服器連接來獲得完整的軟體體驗。所以服務防火牆也就應運而生。服務防火牆用來防止外部網路的惡意信息進入到伺服器的網路環境中。

4、監控防火牆

如果說之前介紹的防火牆都是被動防守的話，那麼監控防火牆則是不僅僅防守，還會主動出擊。一方面監控防火牆可以像傳統的防火牆一樣，過濾網路中的有害數據。另一方面，監控防火牆可以主動對數據進行分析和測試，得到網路中是否存在外部攻擊。這種防火牆對內可以過濾，對外可以監控。從技術上來說，是傳統防火牆的重大升級。

5、應用代理類型防火牆

應用代理防火牆主要的工作范圍就是在OSI的最高層，位於應用層之上。其主要的特徵是可以完全隔離網路通信流，通過特定的代理程序就可以實現對應用層的監督與控制。這兩種防火牆是應用較為普遍的防火牆，其他一些防火牆應用效果也較為顯著，在實際應用中要綜合具體的需求以及狀況合理的選擇防火牆的類型，這樣才可以有效地避免防火牆的外部侵擾等問題的出現。

以上內容參考：網路-防火牆、網路-防火牆技術

3. 什麼是防火牆

過去很長一段時期里，房屋都是磚木結構甚至是茅屋。如果一家失火，四鄰也會跟著遭殃，所以，為安全起見，古人就在自己居住地周圍修築高高的圍牆，以阻擋外來的火勢，保護自身的安全，這種牆就叫防火牆。

如今，網路系統不僅把系統內部的計算機緊密聯系在一起，還進行網間連接。特別是網際網路，它把世界各地的計算機系統都緊密地連接在一起。因此，如果不嚴加防衛，一旦網路受到敵方或「黑客」們的攻擊，就會出現不堪設想的後果。

在互聯網上，人們採用類似防火牆的方法，保護網路資源不受侵害。具有這種功能的設備就稱為「防火牆」。防火牆是一種中間隔離系統，插在內部網與互聯網之間，作為兩者之間的阻塞關卡，起到加強安全與審計的功能。

建立防火牆的目的是保護自己的網路不受外來攻擊，為此需要確定哪些類型的信息允許通過防火牆，而哪些不允許通過，這就是「防火牆安全策略問題」。

目前主要有兩種截然不同的安全策略：一種是拒絕一切未被特許的東西進入內部網；另一種是允許一切未被拒絕的東西進入。從網路安全性的角度來看，前者嚴格，它的意思就是：除了被確認是可信任的信息外，其他都不允許進來，但這樣可能影響互聯性；而後者寬松，它的意思就是：除了被確認是不可信任的信息來源以外都可以進內部網路，這有利於信息交互，但可能存在安全隱患。

採用哪種安全策略的防火牆，取決於網路自身條件和環境。要在對自己網路進行安全分析、風險評估和商業需求分析基礎上確定安全策略，採用相應的防火牆。

但是，防火牆和實際生活中採取的各種消防措施一樣，只能最大限度地減少災害，而不能消滅災害。近來，網際網路上的「黑客」攻擊程序大量出現，這些「黑客」攻擊程序以正常文件為載體，以病毒方式傳播，突破了防火牆系統針對「黑客」攻擊程序採取的防衛措施，巧妙地潛入並隱蔽在系統內部，開設後門，與外部「黑客」進行「里應外合」。之所以產生這種情況，是因為網路防火牆技術有一定的局限性。

當前的防火牆技術的局限性主要表現為：

1．由於防火牆對信息流進行過濾的基本依據是網路主機的源地址和目的地址，而這種主機地址比較容易偽造，且如果同一地址中有多個用戶，防火牆也無法進行區分。

2．由於防火牆只對地址進行判別，沒有雙向身份鑒別，因而給偽造伺服器提供機會。

3．防火牆對訪問的控制是粗略的，不能管理信息流的傳輸進程。

4．防火牆的物理結構是防外不防內的，它不能防止來自內部的攻擊，對進了網的用戶的操作和訪問缺乏審計能力。

因此，要更好地保證網路安全，除不斷改進防火牆技術外，還要使用各種加密技術、身份鑒別技術，注重認證和授權，並加強管理，才能使網路系統有一個良好的安全的環境，確保本系統的信息財富不遭盜竊和破壞。

知識點

邏輯炸彈

邏輯炸彈是一種程序，或任何部分的程序，這是冬眠，直到一個具體作品的程序邏輯被激活而打亂所有的程序，造成程序的癱瘓並出現物理損壞。因為它的影響像突爆的炸彈，因此有了此名。「邏輯炸彈」引發時的症狀與某些病毒的作用結果相似，並會對社會引發連帶性的災難。與病毒相比，它強調破壞作用本身，而實施破壞的程序不具有傳染性。在這樣一個邏輯炸彈是非常類似的一個真實世界的地雷。最常見的激活一個邏輯炸彈是一個日期。該邏輯炸彈檢查系統日期，並沒有什麼，直到預先編程的日期和時間是達成共識。在這一點上，邏輯炸彈被激活並執行它的代碼。

4. 什麼是網路防火牆防火牆的主要作用有哪些

防火牆的主要作用隔離內外網路，阻擋外部攻擊，具體來說主要功能模塊有：禁止特定流量，包過濾，NAT，映射等。

5. 什麼叫網路防火牆

網路防火牆就是一個位於計算機和它所連接的網路之間的軟體。該計算機流入流出的所有網路通信均要經過此防火牆。防火牆對流經它的網路通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執行。防火牆還可以關閉不使用的埠。而且它還能禁止特定埠的流出通信，封鎖特洛伊木馬

6. 互聯網上的防火牆是干什麼用的呢

其實說到計算機當中的防火牆的作用，我們不妨去聯想我們生活當中防火牆的作用。在生活當中，防火牆的作用主要是為了保障居民生活當中的生命安全，而在計算機當中防火牆的作用也是如此，它是計算機的一種保障機制。為了就是阻止那些沒有經過用戶允許以及授權就強行訪問的網路。比如說有時候我們在下載一些盜版游戲的時候，會發現如果說不關閉防火牆的話，這些游戲是沒有辦法下載的。只有在關閉防火牆的情況之下，這些游戲才能夠得到下載。當然我們同時也反對下載盜版游戲。
對於在安全策略的選擇上，目前防火牆主要可以分為兩大主流，一種是拒絕一切來自於外界並且沒有被特許的信息進入內部網。而另一種是允許一切沒有被拒絕的信息所進入。但是這兩種方式都是有利有弊的，像後者來講，雖然說允許進入內部網路的信息多了，這樣更有利於我們信息之間的交互，可是也會存在一定量的安全隱患。

7. 1、 什麼是網路防火牆簡述網路防火牆的功能、組成和類型

咨詢記錄 · 回答於2021-12-24

8. 互聯網防火牆是干什麼的，防的是什麼「火」

防火牆是指設置在不同網路（如可信任的企業內部網和不可信的公共網）或網路安全域之間的一系列部件的組合。它可以通過監測、限制、更改跨越防火牆的數據流，盡可能地對外部屏蔽網路內部的信息、結構和運行狀況，以此來實現網路的安全保護。在邏輯上，防火牆是一個分離器，一個限制器，也是一個分析器，有效地監控了內部網和Internet之間的任何活動，保證了內部網路的安全。

防火牆（Firewall），是一種硬體設備或軟體系統，主要架設在內部網路和外部網路間，為了防止外界惡意程式對內部系統的破壞，或者阻止內部重要信息向外流出，有雙向監督功能。藉由防火牆管理員的設定，可以彈性的調整安全性的等級。

防火牆作用

1.保護脆弱的服務

通過過濾不安全的服務，Firewall可以極大地提高網路安全和減少子網中主機的風險。例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

2.控制對系統的訪問

Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。例如，Firewall允許外部訪問特定的Mail Server和Web Server。

3.集中的安全管理

Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行於整個內部網路系統，而無須在內部網每台機器上分別設立安全策略。Firewall可以定義不同的認證方法，而不需要在每台機器上分別安裝特定的認證軟體。外部用戶也只需要經過一次認證即可訪問內部網。

4.增強的保密性

使用Firewall可以阻止攻擊者獲取攻擊網路系統的有用信息，如Figer和DNS。

5.記錄和統計網路利用數據以及非法使用數據

Firewall可以記錄和統計通過Firewall的網路通訊，提供關於網路使用的統計數據，並且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。

6.策略執行

Firewall提供了制定和執行網路安全策略的手段。未設置Firewall時，網路安全取決於每台主機的用戶。

9. 什麼是網路防火牆

防火牆的英文名為「FireWall」，它是目前一種最重要的網路防護設備。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組組件集合。

防火牆在網路中經常是以下圖所示的兩種圖標出現的。左邊那個圖標非常形象，真正像一堵牆一樣。而右邊那個圖標則是從防火牆的過濾機制來形象化的，在圖標中有一個二極體圖標。而二極體我們知道，它具有單向導電性，這樣也就形象地說明了防火牆具有單向導通性。這看起來與現在防火牆過濾機制有些矛盾，不過它卻完全體現了防火牆初期的設計思想，同時也在相當大程度上體現了當前防火牆的過濾機制。因為防火最初的設計思想是對內部網路總是信任的，而對外部網路卻總是不信任的，所以最初的防火牆是只對外部進來的通信進行過濾，而對內部網路用戶發出的通信不作限制。當然目前的防火牆在過濾機制上有所改變，不僅對外部網路發出的通信連接要進行過濾，對內部網路用戶發出的部分連接請求和數據包同樣需要過濾，但防火牆仍只對符合安全策略的通信通過，也可以說具有「單向導通」性。

防火牆的本義是指古代構築和使用木製結構房屋的時候，為防止火災的發生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構築物就被稱之為「防火牆」。其實與防火牆一起起作用的就是「門」。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢？當火災發生時，這些人又如何逃離現場呢？這個門就相當於我們這里所講的防火牆的「安全策略」，所以在此我們所說的防火牆實際並不是一堵實心牆，而是帶有一些小孔的牆。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的「單向導通性」。
我們通常所說的網路防火牆是借鑒了古代真正用於防火的防火牆的喻義，它指的是隔離在本地網路與外界網路之間的一道防禦系統。防火可以使企業內部區域網（LAN）網路與Internet之間或者與其他外部網路互相隔離、限制網路互訪用來保護內部網路。典型的防火牆具有以下三個方面的基本特性：
（一）內部網路和外部網路之間的所有網路數據流都必須經過防火牆
這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通信的唯一通道，才可以全面、有效地保護企業網部網路不受侵害。
根據美國國家安全局制定的《信息保障技術框架》，防火牆適用於用戶網路系統的邊界，屬於用戶網路邊界的安全保護設備。所謂網路邊界即是採用不同安全策略的兩個網路連接處，比如用戶網路和互聯網之間連接、和其它業務往來單位的網路連接、用戶內部網路不同部門之間的連接等。防火牆的目的就是在網路連接之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的數據流，實現對進、出內部網路的服務和訪問的審計和控制。
典型的防火牆體系網路結構如下圖所示。從圖中可以看出，防火牆的一端連接企事業單位內部的區域網，而另一端則連接著互聯網。所有的內、外部網路之間的通信都要經過防火牆。

（二）只有符合安全策略的數據流才能通過防火牆
防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一台「雙穴主機」，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發設備，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。如下圖：

（三）防火牆自身應具有非常強的抗攻擊免疫力
這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火牆操作系統本身是關鍵，只有自身具有完整信任關系的操作系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程序在防火牆上運行。當然這些安全性也只能說是相對的。