什么是防火墙 防火墙基础知识.docVIP

什么是防火墙--防火墙基础知识 导语：当今是网络时代，是科技高速发展的时代，电脑已成为人们的办公用品，可你知道什么是防火墙吗？它有什么作用呢？ 什么是防火墙? 防火墙是使用一段quot;代码墙quot;把你的电脑和internet分隔开。它检查到达防火墙两端的所有数据包，无论是进入还是发出，从而决定该拦截这个包还是将其放行。 在将来，防火墙会成为PC上的标准装备，这是毫无疑问的。但在今天，它需要在必要的地方安装——几乎是所有的地方。 ▲防火墙是怎样工作的? 所有的internet通信都是通过独立数据包的交换来完成的。每个包由源主机向目标主机传输。包是internet上信息传输的基本单位，虽然我们常说电脑之间的quot;连接quot;，但这quot;连接quot;实际上是由被quot;连接quot;的两台电脑之间传送的独立数据包组成的。实质上，它们quot;同意quot;相互之间的quot;连接quot;，并各自向发送者发出quot;应答包quot;，让发送者知道数据被接收。 为了到达目的地——不论两台电脑是隔着两步远还是在不同的大洲上——每个internet数据包都必须包含一个目标地址和端口号，和源主机的IP地址及端口号，以便接收者知道是谁发出了这个包。也就是说，每一个在internet上传送的包，都必须含有源地址和目标地址。一个IP地址总是指向internet上的一台单独机器，而端口号则和机器上的某种服务或会话相关联。 那么，这意味着什么呢? 既然防火墙检查每个到达你的电脑的数据包，那么，在这个包被你机上运行的任何软件看到之前，防火墙有完全的否决权，可以禁止你的电脑接收internet上的任何东西。 当第一个请求建立连接的包被你的电脑回应后，一个TCP/IP端口被打开。如果到达的包不被受理，这个端口就会迅速地从internet上消失，谁也别想和它连上。 但防火墙的真正力量在于选择哪些包该拦截，哪些包该放行。既然每个到达的包都含有正确的发送者的IP地址(以便接收者发送回应包)，那么，基于源主机IP地址及端口号和目标主机IP地址及端口号的一些组合，防火墙可以quot;过滤quot;掉一些到达的包。 例如，你正在运行web服务器，需要允许远程主机在80端口(http)和你的电脑连接,防火墙就可以检查每个到达的包，并只允许由80端口开始的连接。新的连接将会在所有的其他端口上被拒绝。即使你的电脑不小心被装入了quot;特洛依木马quot;程序，向外界打开了一个监听端口，禁止quot;特洛依木马quot;通行的扫描也可以检测到quot;特洛依木马quot;的存在，因为所有联络系统内quot;特洛依木马quot;程序的企图都被防火墙拦截了。 也许你想在internet上建立一条quot;安全隧道quot;，以便你的家庭电脑和办公室电脑可以共享文件而不受外来的侵入。防火墙使这成为可能并相对简单。你可以在办公室电脑的防火墙上设定，只允许来自你家庭电脑的IP地址的连接，使用NetBios文件共享端口137-139;类似的，在家庭电脑的防火墙上可以设定，只允许来自你办公室电脑的IP地址的连接，使用137-139端口。这样，两台机器都可以看到对方的NetBios端口，而internet上的其它人都看不见这两台机器之间建立了一条quot;安全隧道quot;。 防火墙基础知识 防火墙的分类 防火墙有很多种分类方法:根据采用的核心技术,按照应用对象的不同,或者按照实现方法的不同。 每种分类方法都各有特点,例如,基于具体实现方法分类,可以分为三种类型: 一、软件防火墙 防火墙运行于特定的计算机上,一般来说这台计算机就是整个网络的网关。软件防火墙与其他的软件产品一样,需要先在计算机上安装并做好配置后方可使用。使用这类防火墙,需要网络管理人员对使用的操作系统平台比较熟悉。 二、硬件防火墙 由计算机硬件、通用操作系统和防火墙软件组成。在定制的计算机硬件上,采用通用计算机系统、Flash盘、网卡组成的硬件平台上运行Linux,FreeBSD和Solaris等经过最小化安全处理后的操作系统及集成的防火墙软件。其特点是开发成本低、性能实用,而且稳定性和扩展性较好。但是由于此类防火墙依赖操作系统内核,因此受到操作系统本身安全性的影响,处理速度较慢。 三、专用防火墙 采用特别优化设计的硬件体系结构,使用专用的操作系统。此类防火墙在稳定性和传输性方面有着得天独厚的优势,速度快、处理能力强、性能高。由于采用专用操作系统,因而容易配置和管理,本身漏洞也比较少,但是扩展能力有限,价格也较高。由于专用防火墙系列化程度好,用户可以根据应用环境选择合适的产品 防火墙功能 防火墙可以监控进出网络的