作為一個(gè)弱電行業(yè)的人，其實(shí)不需要太了解防火墻，只需要了解它的功能和作用，然后看是否需要在實(shí)踐中使用。

1.什么是防火墻？

我們知道，原指的是古代人的房屋之間修建的墻，可以防止火災(zāi)發(fā)生時(shí)蔓延到其他房屋。

這里所說(shuō)的防火墻當(dāng)然不是指物理防火墻，而是指隔離在本地網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的防御系統(tǒng)。其實(shí)原理是一樣的，就是防止災(zāi)難蔓延。

應(yīng)該說(shuō)，防火墻是互聯(lián)網(wǎng)上一種非常有效的網(wǎng)絡(luò)安全模式，它可以隔離風(fēng)險(xiǎn)區(qū)域(即互聯(lián)網(wǎng)或具有一定風(fēng)險(xiǎn)的網(wǎng)絡(luò))與安全區(qū)域(局域網(wǎng))之間的連接，而不妨礙人們進(jìn)入風(fēng)險(xiǎn)區(qū)域。所以一般連接在核心交換機(jī)和外網(wǎng)之間。

如下圖所示，從它的連接可以看出，它基本上充當(dāng)了內(nèi)網(wǎng)和外網(wǎng)之間的看門(mén)人。

2.防火墻是如何工作的？

防火墻可以監(jiān)控進(jìn)出網(wǎng)絡(luò)的流量，從而完成看似不可能的任務(wù)，只允許安全和經(jīng)過(guò)批準(zhǔn)的信息進(jìn)入，同時(shí)阻止對(duì)企業(yè)構(gòu)成威脅的數(shù)據(jù)。

說(shuō)白了就是像守城隊(duì)。這座城市處于緊張狀態(tài)。只能讓外面世界的好公民進(jìn)城，盤(pán)點(diǎn)城里的壞人，不讓任何壞人走。

隨著安全問(wèn)題中的錯(cuò)誤和缺陷越來(lái)越普遍，對(duì)網(wǎng)絡(luò)的入侵不僅來(lái)自高超的攻擊手段，還來(lái)自低級(jí)的配置錯(cuò)誤或不適當(dāng)?shù)拿艽a選擇。

再說(shuō)說(shuō)城市。

入城盤(pán)點(diǎn):入侵者想要入城，有很多途徑，比如假密碼，假令牌，偽裝等等。所以守城隊(duì)就是為了防止這種可疑人員入城。另外，對(duì)于城中的百姓來(lái)說(shuō)，也是禁止百姓接近城市的主要防御設(shè)施。

城外監(jiān)控:同時(shí)為了更好的保護(hù)城里人，守城隊(duì)當(dāng)然需要打聽(tīng)城外的動(dòng)靜，知道哪里安全哪里危險(xiǎn)，然后規(guī)定普通人要出城，有些地方可以去，有些地方危險(xiǎn)。

因此，防火墻的功能是防止不需要的和未經(jīng)授權(quán)的通信進(jìn)入和離開(kāi)受保護(hù)的網(wǎng)絡(luò)，并迫使組織加強(qiáng)其自身的網(wǎng)絡(luò)安全策略。通用防火墻可以實(shí)現(xiàn)以下目標(biāo):

一是可以限制他人進(jìn)入內(nèi)網(wǎng)，過(guò)濾掉不安全的服務(wù)和非法用戶；

第二是防止入侵者接近你的防御設(shè)施；

第三，限制用戶訪問(wèn)特殊網(wǎng)站。

四是為監(jiān)控互聯(lián)網(wǎng)安全提供便利。

3.防火墻的結(jié)構(gòu)和工作模式？

防火墻可以使用戶的網(wǎng)絡(luò)規(guī)劃更加清晰，防止跨權(quán)限的數(shù)據(jù)訪問(wèn)。如果沒(méi)有防火墻，你可能會(huì)收到很多類(lèi)似的報(bào)告，比如某公司的內(nèi)部財(cái)務(wù)報(bào)告剛剛被上萬(wàn)封Email炸了。

一個(gè)完整的防火墻系統(tǒng)通常由屏蔽路由器和代理服務(wù)器組成。

1、屏蔽路由器:

是一個(gè)多端口IP路由器，根據(jù)組規(guī)則判斷是否轉(zhuǎn)發(fā)每個(gè)傳入的IP包。掩碼路由器從包頭中獲取信息，如協(xié)議號(hào)、發(fā)送和接收消息的IP地址和端口號(hào)、連接標(biāo)記和其他IP選項(xiàng)，并過(guò)濾IP數(shù)據(jù)包。

這里有一個(gè)例子:

一堆人來(lái)到一個(gè)即將開(kāi)業(yè)買(mǎi)房的樓盤(pán)營(yíng)業(yè)部。銷(xiāo)售小姐需要先注冊(cè)了解你，你有沒(méi)有固定工作，你是不是本市戶口，能不能正常貸款，首付多少。

2.代理服務(wù)器:

是防火墻中的一個(gè)服務(wù)器進(jìn)程，可以代替網(wǎng)絡(luò)用戶完成特定的TCP/TP功能。代理服務(wù)器本質(zhì)上是應(yīng)用層網(wǎng)關(guān)。就像前天說(shuō)的，網(wǎng)關(guān)就是網(wǎng)關(guān)。

為特定網(wǎng)絡(luò)應(yīng)用連接兩個(gè)網(wǎng)絡(luò)的網(wǎng)關(guān)。用戶為一個(gè)TCP/TP應(yīng)用程序(如Telnet或FTP)處理代理服務(wù)器，代理服務(wù)器要求用戶提供要訪問(wèn)的遠(yuǎn)程主機(jī)名。

當(dāng)用戶回復(fù)并提供正確的用戶身份和認(rèn)證信息時(shí)，代理服務(wù)器與遠(yuǎn)程主機(jī)通信，并充當(dāng)兩個(gè)通信點(diǎn)的中繼。整個(gè)過(guò)程可以對(duì)用戶完全透明。用戶提供的用戶身份和身份驗(yàn)證信息可用于用戶級(jí)身份驗(yàn)證。

也談買(mǎi)房:

當(dāng)你已經(jīng)具備了買(mǎi)房的條件，關(guān)鍵環(huán)節(jié)就是貸款。這個(gè)時(shí)候，銷(xiāo)售顧問(wèn)就是門(mén)戶。你提供完整的貸款信息(薪資證明，收入明細(xì)等。)給銷(xiāo)售顧問(wèn)。銷(xiāo)售顧問(wèn)會(huì)審核后，所有條件都滿足了。如果沒(méi)有問(wèn)題，他會(huì)提交給銀行。貸款獲批后，房子就可以順利買(mǎi)了。

四、防火墻的作用？

在局域網(wǎng)內(nèi)部，防火墻一般不需要連接到互聯(lián)網(wǎng)的外網(wǎng)。僅在監(jiān)控單個(gè)網(wǎng)絡(luò)時(shí)需要。通常是通過(guò)路由器處的防火墻連接到局域網(wǎng)，而大型網(wǎng)絡(luò)連接到外網(wǎng)則需要防火墻。

首先，為什么要使用防火墻

防火墻有很好的保護(hù)功能。入侵者必須首先越過(guò)防火墻的安全線，然后才能聯(lián)系目標(biāo)計(jì)算機(jī)。您可以為防火墻配置許多不同的保護(hù)級(jí)別。高級(jí)保護(hù)可能會(huì)禁止某些服務(wù)，比如視頻流，但至少是你自己的保護(hù)選擇。

二、防火墻五大基礎(chǔ)的作用:

1.過(guò)濾進(jìn)出網(wǎng)絡(luò)的數(shù)據(jù)

2.管理訪問(wèn)網(wǎng)絡(luò)的行為

3.阻止某些被禁止的業(yè)務(wù)

4.通過(guò)防火墻記錄信息內(nèi)容和活動(dòng)

5.網(wǎng)絡(luò)攻擊的檢測(cè)和報(bào)警