防火墻，又稱(chēng)防護(hù)墻，由Check Point創(chuàng)始人吉爾·施韋德(Gil Shwed)于1993年發(fā)明，并引入互聯(lián)網(wǎng)。防火墻是系統(tǒng)的第一道防線，它的作用是防止非法用戶進(jìn)入。

防火墻是內(nèi)網(wǎng)和外網(wǎng)之間的一道屏障，它根據(jù)系統(tǒng)管理員預(yù)定義的規(guī)則控制數(shù)據(jù)包的進(jìn)出。

防火墻類(lèi)型

1.網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻可以看作是一個(gè)IP包過(guò)濾，在底層TCP/IP協(xié)議棧上運(yùn)行。通過(guò)枚舉的方式，我們只能允許符合特定規(guī)則的數(shù)據(jù)包通過(guò)，其余的禁止通過(guò)防火墻。這些規(guī)則通常可以由管理員定義或修改，但一些防火墻設(shè)備可能只應(yīng)用內(nèi)置規(guī)則。

2.應(yīng)用層防火墻

應(yīng)用層防火墻在TCP/IP棧的“應(yīng)用層”上運(yùn)行，你使用瀏覽器時(shí)產(chǎn)生的數(shù)據(jù)流或者你使用FTP時(shí)產(chǎn)生的數(shù)據(jù)流都屬于這一層。應(yīng)用層防火墻可以攔截所有進(jìn)出應(yīng)用程序的數(shù)據(jù)包，并阻止其他數(shù)據(jù)包。理論上，這種防火墻可以完全阻擋外部數(shù)據(jù)流進(jìn)入被保護(hù)機(jī)器。

防火墻可以通過(guò)監(jiān)控所有數(shù)據(jù)包，找出不符合規(guī)則的內(nèi)容，防止計(jì)算機(jī)蠕蟲(chóng)或特洛伊木馬的快速傳播。但是，就實(shí)現(xiàn)而言，這種方法既煩人又復(fù)雜，所以大多數(shù)防火墻不會(huì)考慮這樣設(shè)計(jì)。

3.數(shù)據(jù)庫(kù)防火墻

數(shù)據(jù)庫(kù)防火墻是基于數(shù)據(jù)庫(kù)協(xié)議分析和控制技術(shù)的數(shù)據(jù)庫(kù)安全保護(hù)系統(tǒng)?；谥鲃?dòng)防御機(jī)制，實(shí)現(xiàn)了數(shù)據(jù)庫(kù)的訪問(wèn)行為控制、危險(xiǎn)操作攔截和可疑行為審計(jì)。

通過(guò)SQL協(xié)議分析，數(shù)據(jù)庫(kù)防火墻允許合法的SQL操作按照預(yù)定義的禁止和權(quán)限策略通過(guò)，攔截非法和不合法的操作，形成數(shù)據(jù)庫(kù)的外圍防御圈，實(shí)現(xiàn)對(duì)危險(xiǎn)SQL操作的主動(dòng)防范和實(shí)時(shí)審計(jì)。

面對(duì)外界的入侵，數(shù)據(jù)庫(kù)防火墻提供了禁止SQL注入和數(shù)據(jù)庫(kù)虛擬修復(fù)包的功能。