本文章節內容

引入防火墻的原因——目的何在？
防火墻的功能——是防火嗎？
防火墻的真面目是什么？——真的是墻嗎？
理想的防火墻結構
如何使用window防火墻阻斷軟件聯網？——幾步設置即可

本文將以圖例的形式結合通俗易懂的語言對計算機網絡中常提到的防火墻技術做詳細的解讀，旨在讓廣大讀者朋友們認識、了解防火墻的“故事”，縮小更多計算機盲區！

防火墻

一、為什么需要防火墻？

互聯網在加速全球信息化進程的同時，也對世界范圍內的信息安全提出了嚴峻的挑戰。互聯網的開放性與自由性給人類獲取與發布信息帶來了巨大便利，可這同時也是互聯網信息易被污染、入侵與破壞的主要原因，這些損害主要來自于以下多個方面：

? 互聯網信任所有的接入主機

互聯網的開放性允許全球任何一臺網絡設備訪問互聯網而不會去檢測該設備的可靠性，也就是說如果接入互聯網的所有主機中存在一臺安全性、可靠性薄弱的設備，只要攻破這臺主機，那么任何有危害的數據或病毒都可以通過該主機進入互聯網，殃及更多的互聯網設備，可以給全球企業和個人帶來無法估量的損失，造成不可預料的災難。

? 不完善的各種協議服務

當今互聯網中使用的所有服務，如Telnet服務、DNS服務、FTP服務、Web服務、ActiveX等都是存在安全漏洞的，我們經常為計算機打的補丁就包含修復這些服務的功能。這些服務的任何漏洞都是可以成為互聯網主機被攻擊、破壞的突破口！

? TCP/IP協議的安全隱患

TCP/IP協議是Internet中任意兩臺主機進行通信時必須遵循的國際通用信息規范，但由于TCP/IP協議是完全公開的，并不是一套安全性完善的信息規則，進而成為了不法分子實施網絡攻擊的重點目標之一。TCP/IP協議的安全性問題主要有以下幾點：

TCP/IP協議重在建立網絡連對連接安全性做足考慮

TCP/IP協議是基于IP地址的，而基于地址的協議本身就存在各種安全性問題

互聯網中的主機通信只認IP報文，而報文可以被不法分子截獲或者修改，這就無法保證所有的互聯網主機都是來自于可信任的網絡環境，大大降低了不法分子進行網絡攻擊的難度

互聯網本身就有漏洞

由于所有的應用層計算機程序都是通過TCP連接進行數據傳輸的，只要TCP的安全漏洞被利用，攻擊者直接可以遠程操控目標主機，達到污染/盜取數據，截獲密碼、破壞計算機等目的，所以TCP/IP協議并不能保證網絡的絕對安全。

在遇到上述這些問題時，追查根源是非常困難的，因為互聯網信任接入的每一臺設備，該設備可以來自任何可接入因特網的地方，而且可以使用任何一種服務的漏洞或者TCP/IP協議的漏洞。

難覓攻擊源主機

既然如此，想要通過源頭來解決目標主機被破壞的問題幾乎沒有可能，因為要防止所有類型的互聯網攻擊其工作量是做不到的，但反過來，只控制進入目標主機的互聯網數據是可行的，這就要求有一種網絡安全解決方案，能夠對安全網絡環境與不安全網絡環境之間的數據訪問進行控制，而要達到此目的，最基本的方案就是防火墻技術！

二、防火墻的功能——是防火嗎？

防火墻一詞與一汽車部件同名，在汽車中防火墻的功能是將乘客與發動機引擎進行隔離，防止汽車引擎著火波及乘客。除汽車防火墻外，現實建筑物中也有防火墻的概念，在建筑領域防火墻的作用是阻隔火源，阻止火情蔓延。

由上述內容可以斷定防火墻的功能的確就是防火，只不過在計算機領域，防火墻防的是另一種“火”——互聯網上的所有不安全因素，阻斷的是這種“火”在企業、機構或組織內部網絡中的蔓延！

計算機防火墻也是“防火”

防火墻作為一套網絡安全管理機制，可以將需要保護的網絡與開放性的互聯網或者其他不可信任的網絡環境進行隔離，使得被保護的網絡成為完全可控的、可信任的安全網絡，這就是防火墻的主要功能！

三、防火墻的真面目——真的是墻嗎？

我們已經介紹了引入防火墻的原因：為了解決前文中提到的多種網絡安全漏洞！那么，防火墻的真面目到底是什么樣子呢？它真的是一堵墻嗎？防火墻具體是怎么實現的呢？本節為您揭曉！

揭開防火墻的真面目

國電話電報公司（AT&T）的工程師定義了防火墻的具體內容：

◆ 所有內網與外網的數據交互都必須經過防火墻

◆ 所有的內網訪問通信必須經過防火墻授權

◆ 整個內網系統具有很強的可靠性

從定義來看，防火墻是一個可以控制網絡數據進出內外網的“東西”，不僅能夠檢查網絡數據，而且具有保障內網不受外部不安全因素破壞的能力，所以防火墻在功能上，是一個集隔離、審查于一體的器件；在實現上，防火墻是由一組位于特殊網絡位置上的硬件設備（路由器、主機等）組成的主機或路由器系統。

防火墻=特定功能的主機/路由器

四、理想的防火墻結構

在介紹防火墻結構之前，我們首先要清楚三個概念：

內網——又稱內部網絡區域，指企業內部網絡或一部分內部網絡
外網——又稱外部網絡區域，指因特網或非內部區域網絡，不屬于互聯網信任的網絡環境
邊界網絡——內外網都可以訪問的子網
過濾路由器——在普通路由器中設置相關的過濾功能形成的最簡單的防火墻
代理服務器——充當內網DNS、內網與外網通信的網關，可提供各種信息服務(mail、ftp服務等)功能

★ 理想的防火墻結構如下：

理想防火墻結構

根據上圖可以看出，理想型防火墻將一個主機的多種服務功能（WWW/FTP/MAIL等）分散至多個單獨的從主機進行分開管理。在理想型防火墻中一共有三道安全防線，第一道防線就是過濾路由器，能夠進行IP分組數據包的過濾；第二道防線就是分散在邊界網絡中的單服務主機（圖中為代理服務器），由于只提供一種服務，一方面使得邊界網絡中的主機更易于配置，另一方面增加了內網被攻破的難度；第三道防線就是內部路由器，內網最后的安全防護手段。

其實，當今的商用防火墻已經將上述功能全部集成為單件產品，只需要進行配置就能夠實現上述理想結構中的相似功能，如華為的一款防火墻產品：