防火墙相关知识（防火墙简介）

防火墙相关知识（防火墙简介）代理服务截至2012年，所谓的下一代防火墙（NGFW）都只是“拓宽”并“深化”了在应用栈检查的能力。例如，现有支持深度分组检测的现代防火墙均可扩展成入侵预防系统（IPS），用户身份集成（用户ID与IP或MAC地址绑定），和Web应用防火墙（WAF）。防火墙的视察软体介面范例，纪录IP进出的情况与对应事件应用层防火墙是在TCP/IP堆叠的“应用层”上运作，使用浏览器时所产生的资料流或是使用 FTP 时的资料流都是属于这一层。应用层防火墙可以拦截进出某应用程式的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的资料流进受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程式的快速蔓延。实际上，这个方法繁复（因软体种类极多），所以大部分防火墙都不会考虑以这种方法设计。

在计算机科学领域中，防火墙（英语：Firewall）是一个架设在网际网路与企业内网之间的资安系统，根据企业预定的策略来监控往来的传输。防火墙可能是一台专属的网路设备或是执行于主机上来检查各个网路介面上的网路传输。它是目前最重要的一种网路防护设备，从专业角度来说，防火墙是位于两个(或多个)网路间，实行网路间访问或控制的一组元件集合之硬体或软体。

防火墙隔开了信任区域与非信任区域

功能

防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域（通常情况下称为ZONE），制定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信。它有控制信息基本的任务在不同信任的区域。 典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。 最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则 例如：TCP/IP Port 135~139是 Microsoft Windows 的【网上邻居】所使用的。如果电脑有使用【网上邻居】的【分享资料夹】，又没使用任何防火墙相关的防护措施的话，就等于把自己的【分享资料夹】公开到Internet，供不特定的任何人有机会浏览目录内的档案。且早期版本的Windows有【网上邻居】系统溢位的无密码保护的漏洞（这里是指【分享资料夹】有设密码，但可经由此系统漏洞，达到无须密码便能浏览资料夹的需求）。防火墙的本义，是指古代构筑和使用木制结构房屋时，为防止火灾发生及蔓延，人们将坚固石块堆砌在房屋周围做为屏障，这种防护结构建筑就被称为防火墙。现代网路时代引用此喻意，指隔离本地网路与外界网路或是区域网路间与网际网路或互联网的一道防御系统，借由控制过滤限制讯息来保护内部网路资料的安全。

防火墙的视察软体介面范例，纪录IP进出的情况与对应事件

应用层防火墙是在TCP/IP堆叠的“应用层”上运作，使用浏览器时所产生的资料流或是使用 FTP 时的资料流都是属于这一层。应用层防火墙可以拦截进出某应用程式的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的资料流进受保护的机器里。

防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程式的快速蔓延。实际上，这个方法繁复（因软体种类极多），所以大部分防火墙都不会考虑以这种方法设计。

截至2012年，所谓的下一代防火墙（NGFW）都只是“拓宽”并“深化”了在应用栈检查的能力。例如，现有支持深度分组检测的现代防火墙均可扩展成入侵预防系统（IPS），用户身份集成（用户ID与IP或MAC地址绑定），和Web应用防火墙（WAF）。

代理服务

代理（Proxy）伺服器（可以是一台专属的网路设备，或是在一般电脑上的一套软体）采用应用程式的运作方式，回应其所收到的封包（例：连线要求）来实现防火墙的功能，而封锁/抛弃其他封包。

代理伺服器用来连接一个网路(例：网际网路)到另一个特定子网(例：企业内网)的转送者。

代理会使从外部网路窜改一个内部系统更加困难，且只要对于代理有良好的设定，即使内部系统出现问题也不一定会造成安全上的漏洞。相反地，入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的；代理人伪装作为那个系统对其它内部机器。当对内部地址空间的用途增加安全，破坏者也许仍然使用方法譬如IP欺骗（IP spoofing）试图通过封包对目标网路。

防火墙经常有网路地址转换(NAT) 的功能，并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”，定义在RFC 1918。

防火墙的适当的配置要求技巧和智慧，它要求管理员对网路协议和电脑安全有深入的了解，因小差错可使防火墙不能作为安全工具。

防火墙架构

Server-firewall.svg

主机型防火墙

此防火墙需有两张网路卡，一张与网际网路连接，另一张与内联网连接，如此网际网路与内联网的通道无法直接接通，所有封包都需要透过主机传送。

双闸型防火墙

此防火墙除了主机型防火墙的两张网路卡外，另安装应用服务转送器的软体，所有网路封包都须经过此软体检查，此软体将过滤掉不被系统所允许的封包。

屏障单机型防火墙

此防火墙的硬体设备除需要主机外，还需要一个路由器，路由器需具有封包过滤的功能，主机则负责过滤及处理网路服务要求的封包，当网际网路的封包进入屏障单机型防火墙时，路由器会先检查此封包是否满足过滤规则，再将过滤成功的封包，转送到主机进行网路服务层的检查与传送。

屏障双闸型防火墙

将屏障单机型防火墙的主机换成双闸型防火墙。

屏障子网域型防火墙

此防火墙借由多台主机与两个路由器组成，电脑分成两个区块，屏障子网域与内联网，封包经由以下路径，第一个路由器->屏障子网域->第二路由器->内联网，此设计因有阶段式的过滤功能，因此两个路由器可以有不同的过滤规则，让网路封包更有效率。若一封包通过第一过滤器封包，会先在屏障子网域进行服务处理，若要进行更深入内联网的服务，则要通过第二路由器过滤。

缺点

正常状况下，所有网际网路的封包软体都应经过防火墙的过滤，这将造成网路交通的瓶颈。例如在攻击性封包出现时，攻击者会不时寄出封包，让防火墙疲于过滤封包，而使一些合法封包软体亦无法正常进出防火墙。