带地下车库别墅效果图:什么是防火墙？

网络的安全不仅表现在网络的病毒防治方面，而且还表现在系统抵抗外来非法黑客入侵的能力方面。对于网络病毒，我们可以通过KV300或瑞星杀毒软件来对付，那么对于防范黑客的入侵我们能采取什么样的措施呢？在这样的情况下，网络防火墙技术便应运而生了。那么究竟什么叫防火墙呢？它有什么作用呢？请大家耐心往下看。

一、防火墙的基本概念

古时候，人们常在寓所之间砌起一道砖墙，一旦火灾发生，它能够防止火势蔓延到别的寓所。现在，如果一个网络接到了Internet上面，它的用户就可以访问外部世界并与之通信。但同时，外部世界也同样可以访问该网络并与之交互。为安全起见，可以在该网络和Internet之间插入一个中介系统，竖起一道安全屏障。这道屏障的作用是阻断来自外部通过网络对本网络的威胁和入侵， 提供扼守本网络的安全和审计的唯一关卡，它的作用与古时候的防火砖墙有类似之处，因此我们把这个屏障就叫做“防火墙”。

在电脑中，防火墙是一种装置，它是由软件或硬件设备组合而成，通常处于企业的内部局域网与Internet之间，限制Internet用户对内部网络的访问以及管理内部用户访问外界的权限。换言之，防火墙是一个位于被认为是安全和可信的内部网络与一个被认为是不那么安全和可信的外部网络(通常是Internet)之间的一个封锁工具。防火墙是一种被动的技术，因为它假设了网络边界的存在，它对内部的非法访问难以有效地控制。因此防火墙只适合于相对独立的网络，例如企业内部的局域网络等。

二、防火墙的基本准则

1.过滤不安全服务

基于这个准则，防火墙应封锁所有信息流，然后对希望提供的安全服务逐项开放，对不安全的服务或可能有安全隐患的服务一律扼杀在萌芽之中。这是一种非常有效实用的方法，可以造成一种十分安全的环境，因为只有经过仔细挑选的服务才能允许用户使用。

2.过滤非法用户和访问特殊站点

基于这个准则，防火墙应先允许所有的用户和站点对内部网络的访问，然后网络管理员按照IP地址对未授权的用户或不信任的站点进行逐项屏蔽。这种方法构成了一种更为灵活的应用环境，网络管理员可以针对不同的服务面向不同的用户开放，也就是能自由地设置各个用户的不同访问权限。

三、防火墙的基本措施

防火墙安全功能的实现主要采用两种措施。

1.代理服务器(适用于拨号上网)

这种方式是内部网络与Internet不直接通讯，内部网络计算机用户与代理服务器采用一种通讯方式，即提供内部网络协议（NetBIOS、TCP/IP），代理服务器与Internet之间的通信采取的是标准TCP/IP网络通信协议，防火墙内外的计算机的通信是通过代理服务器来中转实现的，结构如下所示:

内部网络→代理服务器→Internet

这样便成功地实现了防火墙内外计算机系统的隔离，由于代理服务器两端采用的是不同的协议标准，所以能够有效地阻止外界直接非法入侵。

代理服务器通常由性能好、处理速度快、容量大的计算机来充当，在功能上是作为内部网络与Internet的连接者，它对于内部网络来说像一台真正的服务器一样，而对于互联网上的服务器来说，它又是一台客户机。当代理服务器接受到用户的请求以后，会检查用户请求的站点是否符合设定要求，如果允许用户访问该站点的话，代理服务器就会和那个站点连接，以取回所需信息再转发给用户。

另外，代理服务器还能提供更为安全的选项，例如它可以实施较强的数据流的监控、过滤、记录和报告功能，还可以提供极好的访问控制、登录能力以及地址转换能力。但是这种防火墙措施，在内部网络终端机很多的情况下，效率必然会受到影响，代理服务器负担很重，并且许多访问Internet的客户软件在内部网络计算机中无法正常访问Internet。

2.路由器和过滤器

这种结构由路由器和过滤器共同完成对外界计算机访问内部网络的限制，也可以指定或限制内部网络访问Internet。路由器只对过滤器上的特定端口上的数据通讯加以路由，过滤器的主要功能就是在网络层中对数据包实施有选择的通过，依照IP（Internet Protocol）包信息为基础，根据IP源地址、IP目标地址、封装协议端口号，确定它是否允许该数据包通过。这种防火墙措施最大的优点就是它对于用户来说是透明的，也就是说不须用户输入账号和密码来登录，因此速度比代理服务器快，且不容易出现瓶颈现象。然而其缺点也是很明显的，就是没有用户的使用记录，这样我们就不能从访问记录中发现非法入侵的攻击记录。

防火墙是阻止外面的人对您的网络进行访问的设备，此设备通常是软件和硬件的组合体，它通常根据一些规则来挑选合法或非法的地址。典型的防火墙由一台BASTION主机组成，除此之外，您也可以使用一种叫作屏蔽路由器的设备，从而获得更好的安全性。为了更好地理解防火墙的工作原理，我们以一些典型主题为例进行说明。

首先绝大多数简单的身份验证过程都是以IP地址为根据的。IP地址是Internet网上最普遍的身份索引，它有静态和动态之分。

静态IP地址即固定不变的IP地址，它可以是某台连在Internet网上的主机地址。静态IP地址分几类。其中一类能通过Whois查询命令得到，并且此类地址主要是internet网上最高层的主机的IP地址，这些主机可以是域名服务器、Web服务器和“根”主机，并且在InterNIC的Whois数据库中都有它们的注册主机名；另一类静态IP地址被分配给internet网中的第二和第三层主机（这些机器还有固定的物理地址），然而这些机器不一定拥有注册主机名。但不管怎样它们都有注册的IP地址。

动态IP地址是指每次强制分配给不同的上网主机的地址。ISP的拨号服务器中经常使用动态IP地址——节点机每次拨号上网，都会被临时分配一个不同的IP地址。

无论IP地址是静态还是动态的，它都被用于网络传输中。

当您的计算机和一台远程计算机建立联接（Connection）时，各种对话随之产生。其中最常见的一种是TCP／IP的三次握手方式，对方可在三次握手过程中得知您主机的IP地址。

防火墙在古代是指建立在居民间的一种土石结构厚墙，确实用来防火。

在网络中由于要互相访问计算机，就需要一种东西来控制访问的人及访问用的程序，以阻挡有害的程序或恶意目的的访问。一般可分为硬件和软件两种，家用的一般都为软墙(如瑞星、天网、江民等)

如机器要联入公网，建议您安装正版的软墙(如天网)。