防火墙是什么?有什么作用?

防火墙的作用是：

防火墙是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，以此来实现网络的安全保护。

在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动，保证了内部网络的安全。

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙的主要类型

1、过滤防火墙

过滤防火墙，顾名思义，就是在计算机网络中起一个过滤的作用。这种防火墙会根据已经预设好的过滤规则，对在网络中流动的数据包进行过滤行为。如果符合过滤规则的数据包会被放行，如果数据包不满足过滤规则，就会被删除。数据包的过滤规则是基于数据包报审的特征的。防火墙通过检查数据包的源头IP地址，目的IP地址，数据包遵守的协议，端口号等特征来完成。第一代的防火墙就属于过滤防火墙。

2、应用网关防火墙

已经介绍了的过滤防火墙在 OSI七层协议中主要工作在数据链路层和IP层。与之不同的是，应用网关防火墙主要工作在最上层应用层。不仅如此，相比于基于过滤的防火墙来说，应用网关防火墙最大的特点是有一套自己的逻辑分析。基于这个逻辑分析，应用网关服务器在应用层上进行危险数据的过滤，分析内部网络应用层的使用协议，并且对计算机网络内部的所有数据包进行分析，如果数据包没有应用逻辑则不会被放行通过防火墙。

3、服务防火墙

上述的两种防火墙都是应用在计算机网络中来阻挡恶意信息进入用户的电脑的。服务防火墙则有其他的应用场景，服务防火墙主要用于服务器的保护中。在现在的应用软件中，往往需要通过和服务器连接来获得完整的软件体验。所以服务防火墙也就应运而生。服务防火墙用来防止外部网络的恶意信息进入到服务器的网络环境中。

4、监控防火墙

如果说之前介绍的防火墙都是被动防守的话，那么监控防火墙则是不仅仅防守，还会主动出击。一方面监控防火墙可以像传统的防火墙一样，过滤网络中的有害数据。另一方面，监控防火墙可以主动对数据进行分析和测试，得到网络中是否存在外部攻击。这种防火墙对内可以过滤，对外可以监控。从技术上来说，是传统防火墙的重大升级。

5、应用代理类型防火墙

应用代理防火墙主要的工作范围就是在OSI的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙，其他一些防火墙应用效果也较为显著，在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型，这样才可以有效地避免防火墙的外部侵扰等问题的出现。

以上内容参考：百度百科-防火墙、百度百科-防火墙技术

过去很长一段时期里，房屋都是砖木结构甚至是茅屋。如果一家失火，四邻也会跟着遭殃，所以，为安全起见，古人就在自己居住地周围修筑高高的围墙，以阻挡外来的火势，保护自身的安全，这种墙就叫防火墙。

如今，网络系统不仅把系统内部的计算机紧密联系在一起，还进行网间连接。特别是因特网，它把世界各地的计算机系统都紧密地连接在一起。因此，如果不严加防卫，一旦网络受到敌方或“黑客”们的攻击，就会出现不堪设想的后果。

在互联网上，人们采用类似防火墙的方法，保护网络资源不受侵害。具有这种功能的设备就称为“防火墙”。防火墙是一种中间隔离系统，插在内部网与互联网之间，作为两者之间的阻塞关卡，起到加强安全与审计的功能。

建立防火墙的目的是保护自己的网络不受外来攻击，为此需要确定哪些类型的信息允许通过防火墙，而哪些不允许通过，这就是“防火墙安全策略问题”。

目前主要有两种截然不同的安全策略：一种是拒绝一切未被特许的东西进入内部网；另一种是允许一切未被拒绝的东西进入。从网络安全性的角度来看，前者严格，它的意思就是：除了被确认是可信任的信息外，其他都不允许进来，但这样可能影响互联性；而后者宽松，它的意思就是：除了被确认是不可信任的信息来源以外都可以进内部网络，这有利于信息交互，但可能存在安全隐患。

采用哪种安全策略的防火墙，取决于网络自身条件和环境。要在对自己网络进行安全分析、风险评估和商业需求分析基础上确定安全策略，采用相应的防火墙。

但是，防火墙和实际生活中采取的各种消防措施一样，只能最大限度地减少灾害，而不能消灭灾害。近来，因特网上的“黑客”攻击程序大量出现，这些“黑客”攻击程序以正常文件为载体，以病毒方式传播，突破了防火墙系统针对“黑客”攻击程序采取的防卫措施，巧妙地潜入并隐蔽在系统内部，开设后门，与外部“黑客”进行“里应外合”。之所以产生这种情况，是因为网络防火墙技术有一定的局限性。

当前的防火墙技术的局限性主要表现为：

1．由于防火墙对信息流进行过滤的基本依据是网络主机的源地址和目的地址，而这种主机地址比较容易伪造，且如果同一地址中有多个用户，防火墙也无法进行区分。

2．由于防火墙只对地址进行判别，没有双向身份鉴别，因而给伪造服务器提供机会。

3．防火墙对访问的控制是粗略的，不能管理信息流的传输进程。

4．防火墙的物理结构是防外不防内的，它不能防止来自内部的攻击，对进了网的用户的操作和访问缺乏审计能力。

因此，要更好地保证网络安全，除不断改进防火墙技术外，还要使用各种加密技术、身份鉴别技术，注重认证和授权，并加强管理，才能使网络系统有一个良好的安全的环境，确保本系统的信息财富不遭盗窃和破坏。

知识点

逻辑炸弹

逻辑炸弹是一种程序，或任何部分的程序，这是冬眠，直到一个具体作品的程序逻辑被激活而打乱所有的程序，造成程序的瘫痪并出现物理损坏。因为它的影响像突爆的炸弹，因此有了此名。“逻辑炸弹”引发时的症状与某些病毒的作用结果相似，并会对社会引发连带性的灾难。与病毒相比，它强调破坏作用本身，而实施破坏的程序不具有传染性。在这样一个逻辑炸弹是非常类似的一个真实世界的地雷。最常见的激活一个逻辑炸弹是一个日期。该逻辑炸弹检查系统日期，并没有什么，直到预先编程的日期和时间是达成共识。在这一点上，逻辑炸弹被激活并执行它的代码。

---