電腦防火牆的主要功能是什麼（windows防火牆是幹什麼的）

2023-08-26 03:51:16

定義

所謂防火牆指的是一個由軟體和硬體裝置組合而成、在內部網和外部網之間、專用網與公共網之間的介面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使Internet與Intranet之間建立起一個安全閘道器（Security Gateway），從而保護內部網免受非法使用者的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用閘道器4個部分組成，防火牆就是一個位於計算機和它所連線的網路之間的軟體或硬體。該計算機流入流出的所有網路通訊和資料包均要經過此防火牆。

在網路中，所謂“防火牆”，是指一種將內部網和公眾訪問網(如Internet)分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和資料進入你的網路，同時將你“不同意”的人和資料拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通訊。

作用

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高階別的保護可能會禁止一些服務，如視訊流等，但至少這是你自己的保護選擇。

從型別上來說我們主要是分為兩種

網路層防火牆

網路層防火牆[3]可視為一種 IP 封包過濾器（允許或拒絕封包資料通過的軟硬結合裝置），運作在底層的 TCP/IP 協議堆疊上。我們可以以列舉的方式，只允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆（病毒除外，防火牆不能防止病毒侵入）。這些規則通常可以經由管理員定義或修改，不過某些防火牆裝置可能只能套用內建的規則。

我們也能以另一種較寬鬆的角度來制定防火牆規則，只要封包不符合任何一項“否定規則”就予以放行。現在的作業系統及網路裝置大多已內建防火牆功能。

較新的防火牆能利用封包的多樣屬性來進行過濾，例如：來源 IP地址、來源埠號、目的 IP 地址或埠號、服務型別(如 WWW 或是 FTP)。也能經由通訊協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

應用層防火牆

應用層防火牆是在 TCP/IP 堆疊的“應用層”上運作，您使用瀏覽器時所產生的資料流或是使用 FTP 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包，並且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。

防火牆藉由監測所有的封包並找出不符規則的內容，可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實現而言，這個方法既煩且雜(軟體有千千百百種啊)，所以大部分的防火牆都不會考慮以這種方法設計。

XML 防火牆是一種新型態的應用層防火牆。

根據側重不同，可分為：包過濾型防火牆、應用層閘道器型防火牆、伺服器型防火牆。

基本特性

（一）內部網路和外部網路之間的所有網路資料流都必須經過防火牆

這是防火牆所處網路位置特性，同時也是一個前提。因為只有當防火牆是內、外部網路之間通訊的唯一通道，才可以全面、有效地保護企業網內部網路不受侵害。

根據美國國家安全域性制定的《資訊保障技術框架》，防火牆適用於使用者網路系統的邊界，屬於使用者網路邊界的安全保護裝置。所謂網路邊界即是採用不同安全策略的兩個網路連線處，比如使用者網路和網際網路之間連線、和其它業務往來單位的網路連線、使用者內部網路不同部門之間的連線等。防火牆的目的就是在網路連線之間建立一個安全控制點，通過允許、拒絕或重新定向經過防火牆的資料流，實現對進、出內部網路的服務和訪問的審計和控制。

典型的防火牆體系網路結構如下圖所示。從圖中可以看出，防火牆的一端連線企事業單位內部的區域網，而另一端則連線著網際網路。所有的內、外部網路之間的通訊都要經過防火牆。

（二）只有符合安全策略的資料流才能通過防火牆

防火牆最基本的功能是確保網路流量的合法性，並在此前提下將網路的流量快速的從一條鏈路轉發到另外的鏈路上去。從最早的防火牆模型開始談起，原始的防火牆是一臺“雙穴主機”，即具備兩個網路介面，同時擁有兩個網路層地址。防火牆將網路上的流量通過相應的網路介面接收上來，按照OSI協議棧的七層結構順序上傳，在適當的協議層進行訪問規則和安全審查，然後將符合通過條件的報文從相應的網路介面送出，而對於那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火牆是一個類似於橋接或路由器的、多埠的（網路介面>=2）轉發裝置，它跨接於多個分離的物理網段之間，並在報文轉發過程之中完成對報文的審查工作。

（三）防火牆自身應具有非常強的抗攻擊免疫力

這是防火牆之所以能擔當企業內部網路安全防護重任的先決條件。防火牆處於網路邊緣，它就像一個邊界衛士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火牆自身要具有非常強的抗擊入侵本領。它之所以具有這麼強的本領防火牆作業系統本身是關鍵，只有自身具有完整信任關係的作業系統才可以談論系統的安全性。其次就是防火牆自身具有非常低的服務功能，除了專門的防火牆嵌入系統外，再沒有其它應用程式在防火牆上執行。當然這些安全性也只能說是相對的。

目前國內的防火牆幾乎被國外的品牌佔據了一半的市場，國外品牌的優勢主要是在技術和知名度上比國內產品高。而國內防火牆廠商對國內使用者瞭解更加透徹，價格上也更具有優勢。防火牆產品中，國外主流廠商為思科（Cisco）、CheckPoint、NetScreen等，國內主流廠商為東軟、天融信、山石網科、網禦神州、聯想、方正等，它們都提供不同級別的防火牆產品。

優點

（1）防火牆能強化安全策略。

（2）防火牆能有效地記錄Internet上的活動。

（3）防火牆限制暴露使用者點。防火牆能夠用來隔開網路中一個網段與另一個網段。這樣，能夠防止影響一個網段的問題通過整個網路傳播。

（4）防火牆是一個安全策略的檢查站。所有進出的資訊都必須通過防火牆，防火牆便成為安全問題的檢查點，使可疑的訪問被拒絕於門外。

其他功能

除了安全作用，防火牆還支援具有Internet服務特性的企業內部網路技術體系VPN（虛擬專用網）。

防火牆的英文名為“FireWall”，它是目前一種最重要的網路防護裝置。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組元件集合。

計算機隱私攻擊。混合媒體

發展史

第一代防火牆

第一代防火牆技術幾乎與路由器同時出現，採用了包過濾（Packet filter）技術。下圖表示了防火牆技術的簡單發展歷史。

第二、三代防火牆

1989年，貝爾實驗室的Dave Presotto和Howard Trickey推出了第二代防火牆，即電路層防火牆，同時提出了第三代防火牆——應用層防火牆（代理防火牆）的初步結構。

第四代防火牆

1992年，USC資訊科學院的BobBraden開發出了基於動態包過濾（Dynamic packet filter）技術的第四代防火牆，後來演變為目前所說的狀態監視（Stateful inspection）技術。1994年，以色列的CheckPoint公司開發出了第一個採用這種技術的商業化的產品。

第五代防火牆

1998年，NAI公司推出了一種自適應代理（Adaptive proxy）技術，並在其產品Gauntlet Firewall for NT中得以實現，給代理型別的防火牆賦予了全新的意義，可以稱之為第五代防火牆。

一體化安全閘道器UTM

UTM統一威脅管理，在防火牆基礎上發展起來的，具備防火牆、IPS、防病毒、防垃圾郵件等綜合功能的裝置。由於同時開啟多項功能會大大降低UTM的處理效能，因此主要用於對效能要求不高的中低端領域。在中低端領域，UTM已經出現了代替防火牆的趨勢，因為在不開啟附加功能的情況下，UTM本身就是一個防火牆，而附加功能又為使用者的應用提供了更多選擇。在高階應用領域，比如電信、金融等行業，仍然以專用的高效能防火牆、IPS為主流。

文章與圖片皆來源於網路，僅供學習交流，希望對大家有幫助。

想要在程式設計師生涯內有更高的成就的話，最最重要的是儘可能的提升自己的程式設計能力，並且，與其想著怎麼去提升，不如從現在開始動手動腦，如果對於C/C 感興趣的話，可以關注私信小編【C/C 程式設計】有一些視訊希望可以幫助到你，學習不怕從零開始，就怕從不開始。