防火墙（讲解）

1.防火墙是什么?

2.防火墙设备

3.防火墙功能

1)出色的控制能力，过滤掉不安全服务

2)过滤非法用户和访问特殊站点

3)它能够对网络存取和访问进行监控审计

4.防火墙的局限

(1)防火墙有可能是可以绕过的

(2)防火墙不能防止内部出卖性攻击或者内部误操作

(3)防火墙不能防止对开放端口或服务的攻击

(4)防火墙可以阻断攻击，但是不能消灭攻击源

(5)防火墙本身也会出现问题，也会遭到攻击

大家在上网的过程中应该都见过这样一个安全提示:windows防火墙已阻止此程序。

1.防火墙是什么?

在古代建筑中，防火墙(Fire Wall)是用来防止火灾蔓延的防护构筑物。而在计算机网络中，防火墙是设置在可信任的内部网络和不可信任的外界(如因特网)之间的一道保护屏障，用来保护内部网免受外部网上非法用户的入侵，这是目前实现网络安全最有效的措施之一。

安装防火墙以后，所有内部网络和外部网络之间传输的数据必须通过防火墙，防火墙允许授权“同意”的用户和数据进入到内部网络中，同时将“不同意”的用户和数据拒之门外，最大限度地阻止网络中的黑客来访问内部网络。

在电影《防火墙》中，盗匪利用绑架电脑专家杰克的家人，威胁杰克利用自己的电脑强项，来突破杰克自己编写的防火墙程序，以达到从银行的账户上窃取客户资料、获得金钱的非法目的。如果杰克不帮助盗匪通过防火墙，盗匪就无法访问银行内部的网络。

2.防火墙设备

防火墙的发展历经三代:简单包过滤、应用代理、状态检测防火墙，目前最新的主流技术是具有数据流过滤功能的防火墙。

早期的防火墙一般是直接安装在计算机上的一套软件，是一个应用软件，代表的产品有checkpoint公司的防火墙，还有一些用于个人计算机的防火墙，如瑞星、360ARP，金山网盾等。

后来采用PC硬件结构，基于Unix、LINUX等操作系统内核开发安全防护的一些基本特性所构成的硬件防火墙，是软件和硬件的结合体，如天融信公司的早期防火墙产品。

现在则是采用独立设计的asic芯片，基于专门的硬件平台，没有操作系统，在CPU, 电源、风扇、总线、扩展插卡等方面优化结构，保证防火墙产品得到最优的处理性能，比较有名的是华为、思科、H3C、juniper等公司的防火墙产品

3.防火墙功能

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。

1)出色的控制能力，过滤掉不安全服务

防火墙作为一个阻塞点、控制点，能封锁所有的信息流，通过服务控制(确定哪些服务可以被访问)、方向控制(对于特定的服务，可以确定允许哪个方向能够通过防火墙)、用户控制(根据用户来控制对服务的访问)、行为控制(控制一个特定的服务的行为)，对希望提供的安全服务逐项开放，把不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中，从而极大地提高内部网络的安全性。

2)过滤非法用户和访问特殊站点

通过以防火墙为中心的网络安全方案配置，能将所有安全软件(口令、加密、身份认证、审计等)配置在防火墙上，以强化网络安全策略。如是否允许所有用户和站点对内部网络进行访问，是否按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。

3)它能够对网络存取和访问进行监控审计

所有的外部访问都经过防火墙时，防火墙就能记录下这些访问，为网络使用情况提供统计数据。当发生可疑信息时防火墙能发出报警，并提供网络是否受到监测和攻击的详细信息。

除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN(虚拟专用网)。

4.防火墙的局限

防火墙并不是万能的

(1)防火墙有可能是可以绕过的

防火墙一旦被攻击者击穿或者绕过，防火墙就失去作用了。实际上由于防火墙依赖于口令，所以防火墙不能防范黑客对口令的攻击。几年前，两个在校学生编了一个简单程序，通过对波音公司的口令字的排列组合试出了开启内部网的要求，从内部网中搞到了一张授权的波音公司的口令表，将口令一一出卖。所以美国马里兰州的一家计算机安全咨询机构负责人诺尔.马切特说:“防火墙不过是一道较矮的篱笆墙”。黑客像耗子一样，能从这道篱笆墙上的窟窿中自由出入。