防火墙是什么？具体怎么用？

防火墙是什么，它有那些功能?

所谓“防火墙”，是指一种将内部网和公众访问网(Internet)分开的方法，实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络，防止他们更改、拷贝、毁坏你的重要信息。

防火墙主要有硬件防火墙和软件防火墙。硬件防火墙由路由器构成。软件防火墙则由各类软件实现。通常应用防火墙的目的有以下几方面：限制他人进入内部网络；过滤掉不安全的服务和非法用户；防止入侵者接近你的防御设施；限定人们访问特殊站点；为监视局域网安全提供方便。

安全规则就是对计算机所使用局域网、互联网的内制协议设置，从而达到系统的最佳安全状态。 在个人防火墙软件中的安全规则方式可分为两种：一种是定义好的安全规则，就是把安全规则定义成几种方案，一般分为低、中、高三种。这样不懂网络协议的用户，就可以根据自己的需要灵活的设置不同的安全方案。还有一种用户可以自定义安全规则，也就是说，在非常了解网络协议的情况下，你就可以根据自已所需的安全状态，单独设置某个协议。

个人防火墙软件所涉及到的主要以下协议有：

ICMP消息类型、包的进入接口和出接口如果有匹配并且规则允许该数据包；

TCP:传输控制协议；

IP:网际协议，它负责把数据从合式的地方，以及用合式的方法传输；

UDP:用户数据报文协议，UDP和TCP协议封装在IP数据包里；

NETBUEI:网络基本输入/输出系统；

IPX/SPX:以太网所用的协议；

这些协议有它们不同的用处，具体的使用根据用户的需要来设置。

---------------------------------------------------------------

一个防火墙在一个被认为是安全和可信的内部网络和一个被认为是不

那么安全和可信的外部网络(通常是Internet)之间提供一个封锁工具。

在使用防火墙的决定背后, 潜藏着这样的推理: 假如没有防火墙, 一个网

络就暴露在不那么安全的Internet诸协议和设施面前, 面临来自

Internet其他主机的探测和攻击的危险。在一个没有防火墙的环境里,

网络的安全性只能体现为每一个主机的功能, 在某种意义上, 所有主机必

须通力合作, 才能达到较高程度的安全性。网络越大, 这种较高程度的安

全性越难管理。随着安全性问题上的失误和缺陷越来越普遍, 对网络的入

侵不仅来自高超的攻击手段, 也有可能来自配置上的低级错误或不合适的

口令选择。因此, 防火墙的作用是防止不希望的、未授权的通信进出被保

护的网络, 迫使单位强化自己的网络安全政策。 一个防火墙系统通常由

屏蔽路由器和代理服务器组成。屏蔽路由器是一个多端口的IP路由器, 它

通过对每一个到来的IP包依据一组规则进行检查来判断是否对之进行转

发。屏蔽路由器从包头取得信息, 例如协议号、收发报文的IP地址和端口

号, 连接标志以至另外一些IP选项, 对IP包进行过滤。 代理服务器是

防火墙系统中的一个服务器进程, 它能够代替网络用户完成特定的TCP/IP

功能。一个代理服务器本质上是一个应用层的网关, 一个为特定网络应用

而连接两个网络的网关。用户就一项TCP/IP应用, 比如Telnet或者ftp,

同代理服务器打交道, 代理服务器要求用户提供其要访问的远程主机名。

当用户答复并提供了正确的用户身份及认证信息后, 代理服务器连通远程

主机, 为两个通信点充当中继。整个过程可以对用户完全透明。用户提供

的用户身份及认证信息可用于用户级的认证。最简单的情况是: 它只由用

户标识和口令构成。但是, 如果防火墙是通过Internet可访问的, 我们

推荐使用更强的认证机制,比如一次性口令或挑战-回应式系统。 屏蔽路

由器的优点是简单和低(硬件)成本。其缺点关系到正确建立包过滤规则比

较困难、屏蔽路由器的管理成本、还有用户级身份认证的缺乏。路由器生

产商们正在着手解决这些问题。特别值得注意的是, 它们正在开发编辑包

过滤规则的图形用户界面。他们也在制订标准的用户级身份认证协议, 来

提供远程身份认证拨入用户服务(REDIUS)。 代理服务器的优点是用户级

的身份认证、日志记录和帐号管理。其缺点关系到这样一个事实: 要想提

供全面的安全保证, 就要对每一项服务都建立对应的应用层网关。这个事

实严重地限制了新应用的采纳。最近, 一个名叫SOCKS的包罗万象的代理

服务器问世了。SOCKS主要由一个运行在防火墙系统上的代理服务器软件

包和一个链接到各种网络应用程序的库函数包组成。这样的结构有利于新

应用的挂接。 屏蔽路由器和代理服务器通常组合在一起构成混合系统,

其中屏蔽路由器主要用来防止IP欺骗攻击。目前最广泛采用的配置是

Dual-homed防火墙, 被屏蔽主机型防火墙, 以及被屏蔽子网型防火墙。

尽管防火墙已经在Internet业界得到了广泛的应用, 关于防火墙的话

题仍然十分敏感。防火墙的拥护者们把防火墙看成是一种重要的新型安全

措施, 因为它把诸多安全功能集中到一点上, 大大简化了安装、配置和管

理的手续。许多公司把防火墙当做自己单位驻Internet的大使馆, 当做

关于其项目、产品、服务等公共信息的仓库。从美国生产厂家的观点来

看, 防火墙技术是很有意义的, 因为它不用加密, 因而在出口上不受限

制。但是, 目前提供的大多数防火墙产品确实支持这种或那种的IP层加密

功能, 从而在这方面受到美国出口政策的控制。防火墙的另一个特色是它

不限于TCP/IP协议, 从而不只适用于Internet。 确实, 类似的技术完全

可以用在任何分组交换网络当中, 例如X.25或ATM都可以。防火墙的批评

者们一般关注的是防火墙的使用不便之处, 例如: 需要多次登录及其他不

受约束的机制, 影响Internet的使用甚至影响Internet的生存。他们声

称: 防火墙给人制造一种虚假的安全感, 导致在防火墙内部放松安全警

惕。 他们也注意到, 许多攻击是内部犯罪, 这是任何基于隔离的防范

措施都无能为力的。同样, 防火墙也不能解决进入防火墙的数据带来的所

有安全问题。如果用户抓来一个程序在本地运行, 那个程序很可能就包含

一段恶意的代码, 或泄露敏感信息, 或对之进行破坏。随着Java、

JavaScript和Active X控件及其相应浏览器的大量持续推广, 这一问题

变得更加突出和尖锐。防火墙的另一个缺点是很少有防火墙制造商推出简

便易用的 \"监狱看守 \"型的防火墙, 大多数的产品还停留在需要网络管

理员手工建立的水平上。当然, 这一方面马上会出现重大的变化。 尽管

存在这些争议, 防火墙的拥护者和批评者都承认, 防火墙不能替代墙内的

谨慎的安全措施。防火墙在当今Internet世界中的存在是有生命力的。它

是一些对高级别的安全性有迫切要求的机构出于实用的原因建造起来的,

因此, 它不是解决所有网络安全问题的万能药方, 而只是网络安全政策和

策略中的一个组成部分。

(一)防火墙概念

防火墙不只是一种路由器、主系统或一批向网络提供安全性的系统。相反，防火墙是一种获取安全性的方法；它有助于实施一个比较广泛的安全性政策，用以确定允许提供的服务和访问。就网络配置、一个或多个主系统和路由器以及其他安全性措施(如代替静态口令的先进验证)来说，防火墙是该政策的具体实施。防火墙系统的主要用途就是控制对受保护的网络(即网点)的往返访问。它实施网络访问政策的方法就是逼使各连接点通过能得到检查和评估的防火墙。

路由器和应用网关防火墙范例

防火墙系统可以是路由器，也可以是个人主机、主系统和一批主系统，专门把网络或子网同那些可能被子网外的主系统滥用的协议和服务隔绝。防火墙系统通常位于等级较高的网关如网点与Internet的连接处，但是防火墙系统可以位于等级较低的网关,以便为某些数量较少的主系统或子网提供保护。防火墙基本上是一个独立的进程或一组紧密结合的进程，运行于Router or Server来控制经过防火墙的网络应用程序的通信流量。一般来说，防火墙置于公共网络(如Internet)人口处。它可以看作是交通警察。它的作用是确保一个单位内的网络与Internet之间所有的通信均符合该单位的安全方针。这些系统基本上是基于TCP/IP,并与实现方法有关，它能实施安全路障并为管理人员提供对下列问题的答案：

　

* 谁在使用网络?

* 他们在网上做什么?

* 他们什么时间使用过网络?

* 他们上网时去了何处?

* 谁要上网但没有成功?

　

（二）防火墙的功能

引入防火墙是因为传统的子网系统会把自身暴露给NFS或NIS等先天不安全的服务，并受到网络上其他地方的主系统的试探和攻击。在没有Firewall的环境中，网络安全性完全依赖主系统安全性。在一定意义上，所有主系统必须通力协作来实现均匀一致的高级安全性。子网越大，把所有主系统保持在相同安全性水平上的可管理能力就越小。随着安全性的失误和失策越来越普遍，闯入时有发生，这不是因为受到多方的攻击，而仅仅是因为配置错误、口令不适当而造成的。防火墙能提高主机整体的安全性，因而给站点带来了众多的好处。以下是使用防火墙的好处：

1.防止易受攻击的服务

防火墙可以大大提高网络安全性，并通过过滤天生不安全的服务来降低子网上主系统所冒的风险。因此，子网网络环境可经受较少的风险，因为只有经过选择的协议才能通过Firewall。For example, Firewall 可以禁止某些易受攻击的服务(如NFS)进入或离开受保护的子网。这样得到的好处是可防护这些服务不会被外部攻击者利用。而同时允许在大大降低被外部攻击者利用的风险情况下使用这些服务。对局域网特别有用的服务如NIS或NFS因而可得到公用，并用来减轻主系统管理负担。

防火墙还可以防护基于路由选择的攻击，如源路由选择和企图通过ICMP改向把发送路径转向遭致损害的网点。防火墙可以排斥所有源点发送的包和ICMP改向，然后把偶发事件通知管理人员。

2.控制访问网点系统　

防火墙还有能力控制对网点系统的访问。例如，某些主系统可以由外部网络访问，而其他主系统则能有效地封闭起来，防护有害的访问。除了邮件服务器或信息服务器等特殊情况外，网点可以防止外部对其主系统的访问。

这就把防火墙特别擅长执行的访问政策置于重要地位：不访问不需要访问的主系统或服务。当不用访问或不需要访问时，为什么要提供能由攻击者利用的主系统和服务访问呢？例如，如果用户几乎不需要通过网络访问他的台式工作站，那么，防火墙就可执行这一政策。

3.集中安全性

如果一个子网的所有或大部分需要改动的软件以及附加的安全软件能集中地放在防火墙系统中，而不是分散到每个主机中，这样防火墙的保护就相对集中一些，也相对便宜一点。尤其对于密码口令系统或其他的身份认证软件等等，放在防火墙系统中更是优于放在每个Internet能访问的机器上. 当然，还有一些关于网络安全的出来方法，比如Kerberos,包含了每个主机系统的改动。也许，在某些特定场合，Kerberos或其他类似的技术比防火墙系统更好一些。但有一点不容忽视，由于只需在防火墙上运行特定的软件，防火墙系统实现起来要简单的多。

4.增强的保密、强化私有权

对一些站点而言，私有性是很重要的，因为，某些看似不甚重要的信息往往回成为攻击者灵感的源泉。使用防火墙系统，站点可以防止finger 以及DNS域名服务。finger会列出当前使用者名单，他们上次登录的时间，以及是否读过邮件等等。但finger同时会不经意地告诉攻击者该系统的使用频率，是否有用户正在使用，以及是否可能发动攻击而不被发现。

防火墙也能封锁域名服务信息，从而是Internet外部主机无法获取站点名和Ip地址。通过封锁这些信息，可以防止攻击者从中获得另一些有用信息。

5.有关网络使用、滥用的记录和统计

如果对Internet的往返访问都通过防火墙，那么，防火墙可以记录各次访问，并提供有关网络使用率的有价值的统计数字。如果一个防火墙能在可疑活动发生时发出音响报警，则还提供防火墙和网络是否受到试探或攻击的细节。

　

采集网络使用率统计数字和试探的证据是很重要的，这有很多原因。最为重要的是可知道防火墙能否抵御试探和攻击，并确定防火墙上的控制措施是否得当。网络使用率统计数字也很重要的，因为它可作为网络需求研究和风险分析活动的输入。

6.政策执行

最后，或许最重要的是,防火墙可提供实施和执行网络访问政策的工具。事实上，防火墙可向用户和服务提供访问控制。因此，网络访问政策可以由防火墙执行，如果没有防火墙，这样一种政策完全取决于用户的协作。网点也许能依赖其自己的用户进行协作，但是，它一般不可能，也不依赖Internet 用户。

你好，1、Windows2008R2系统防火墙在，控制面板里面去找（还可以到服务器管理器里面找)2、点击进入08防火墙设置选项卡，注意一下【高级设置】里面去设置；在防火墙设置右上方，有【创建规则】3、入站规则；进入规则向导页面，选择【端口】类型；本案例以开放webmail自定义端口为例，选择特定端口如80084、操作设置；然后在操作设置里面，选择【允许连接】；安全域选择；接下来就是重点了，需要允许应用到的规则域区域。建议全部选择，然后是规则的名称，可以任意取名。建议加上备注，比如XX服务器XX应用检查配置(出站和入站的区别就是端口的指向）设置好之后，点击入站规则里面查看。可以看到刚刚的配置设置5、出站规则；出站规则设置方法是一样的，注意一下。协议类型，有TCP. UDP 你可以选择所有及 ALL类型6、测试端口设置好服务器防火墙端口开放之后，再内网的还需要在路由器上设置映射。可以通过站长工具在线测试。

---