我們知(zhī)道(dào)，原是指古代人們房屋之間修建的那道(dào)牆，這(zhè)道(dào)牆可以防止火災發生的時(shí)候蔓延到(dào)别的房屋。

而這(zhè)裏所說的防火牆當然不是指物理(lǐ)上(shàng)的防火牆，而是指隔離在本地網絡與外(wài)界網絡之間的一道(dào)防禦系統，其實原理(lǐ)是一樣的，也(yě)就是防止災難擴散。

應該說，在互聯網上(shàng)防火牆是一種非常有效的網絡安全模型，通過它可以隔離風(fēng)險區(qū)域(即Internet或有一定風(fēng)險的網絡)與安全區(qū)域(局域網)的連接，同時(shí)不會(huì)妨礙人們對(duì)風(fēng)險區(qū)域的訪問。所以它一般連接在核心交換機與外(wài)網之間。

如下(xià)圖，它的連接就可以看(kàn)出，它基本上(shàng)在内部網絡與外(wài)網之間，起到(dào)一個把關的作(zuò)用(yòng)。

防火牆可以監控進出網絡的通信量，從(cóng)而完成看(kàn)似不可能(néng)的任務，僅讓安全、核準了(le)的信息進入，同時(shí)又抵制對(duì)企業構成威脅的數據，

說白(bái)了(le)，它就像一個守城(chéng)隊，這(zhè)個城(chéng)處于緊張狀态，隻能(néng)讓外(wài)界的良民進城(chéng)，對(duì)城(chéng)裏的壞人進行盤點，不放(fàng)走一個壞人。

随着安全性問題上(shàng)的失誤和(hé)缺陷越來(lái)越普遍，對(duì)網絡的入侵不僅來(lái)自(zì)高(gāo)超的攻擊手段，也(yě)有可能(néng)來(lái)自(zì)配置上(shàng)的低(dī)級錯誤或不合适的口令選擇。

還來(lái)說城(chéng)，

入城(chéng)盤點：入侵者想要進入一座城(chéng)，它有多種方式，打扮成各種方式入城(chéng)，例如，假口令、假令牌，僞裝等。所以守城(chéng)隊是防止這(zhè)種可疑的人員入城(chéng)的，另外(wài)對(duì)于城(chéng)内百姓，也(yě)是禁止百姓靠近城(chéng)内的主要防禦設施。

出城(chéng)監視(shì)：同時(shí)爲了(le)更好(hǎo)保護城(chéng)内百姓，守城(chéng)隊當然還需要打探城(chéng)外(wài)的動向，了(le)解到(dào)哪些(xiē)地方安全，哪些(xiē)地方有危險，然後規定普通百姓想要出城(chéng)，有一些(xiē)地方能(néng)去，有些(xiē)地方有危險不能(néng)去。

因此，防火牆的作(zuò)用(yòng)是防止不希望的、未授權的通信進出被保護的網絡，迫使單位強化自(zì)己的網絡安全政策。一般的防火牆都可以達到(dào)以下(xià)目的：

一是：可以限制他(tā)人進入内部網絡，過濾掉不安全服務和(hé)非法用(yòng)戶；

二是：防止入侵者接近你(nǐ)的防禦設施；

三是：限定用(yòng)戶訪問特殊站(zhàn)點。

四是：爲監視(shì)Internet安全提供方便。

防火牆可以使用(yòng)戶的網絡劃規劃更加清晰明(míng)了(le)，全面防止跨越權限的數據訪問，如果沒有防火牆的話(huà)，你(nǐ)可能(néng)會(huì)接到(dào)許許多多類似的報(bào)告，比如單位内部的财政報(bào)告剛剛被數萬個Email郵件炸爛。

一套完整的防火牆系統通常是由屏蔽路由器和(hé)代理(lǐ)服務器組成。

1、屏蔽路由器：

是一個多端口的IP路由器，它通過對(duì)每一個到(dào)來(lái)的IP包依據組規則進行檢查來(lái)判斷是否對(duì)之進行轉發。屏蔽路由器從(cóng)包頭取得信息，例如協議(yì)号、收發報(bào)文(wén)的IP地址和(hé)端口号、連接标志以至另外(wài)一些(xiē)IP選項，對(duì)IP包進行過濾。

這(zhè)裏面舉個例子：

一堆人來(lái)到(dào)一個快(kuài)要開(kāi)盤樓盤售樓部買房，售樓小(xiǎo)姐(jiě)先需要對(duì)你(nǐ)們進行大(dà)概的登記和(hé)了(le)解，你(nǐ)是否有正規工(gōng)作(zuò)，是否是本市戶口，是否能(néng)正常貸款，首付多少、、、,當進行這(zhè)一系列的問題後，售樓小(xiǎo)姐(jiě)會(huì)對(duì)來(lái)買房的人員進行一個過濾。

2、代理(lǐ)服務器：

是防火牆中的一個服務器進程，它能(néng)夠代替網絡用(yòng)戶完成特定的TCP/TP功能(néng)。一個代理(lǐ)服務器本質上(shàng)是一個應用(yòng)層的網關，網關我們前天講到(dào)過，它就是一個關口。

一個爲特定網絡應用(yòng)而連接兩個網絡的網關。用(yòng)戶就一項TCP/TP應用(yòng)，比如Telnet或者FTP，同代理(lǐ)服務器打交道(dào)，代理(lǐ)服務器要求用(yòng)戶提供其要訪問的遠程主機名。

當用(yòng)戶答(dá)複并提供了(le)正确的用(yòng)戶身份及認證信息後，代理(lǐ)服務器連通遠程主機，爲兩個通信點充當中繼。整個過程可以對(duì)用(yòng)戶完全透明(míng)。用(yòng)戶提供的用(yòng)戶身份及認證信息可用(yòng)于用(yòng)戶級的認證。

還來(lái)講買房：

當你(nǐ)已經符合買房的條件了(le)，你(nǐ)要買到(dào)房，關鍵的環節就是貸款，這(zhè)時(shí)售樓顧問就是網關，你(nǐ)提供完整的貸款資料（工(gōng)資證明(míng)，收入明(míng)細等）給售樓顧問，售樓顧問會(huì)審核下(xià)，各條件都符合了(le)，沒有問題的話(huà)，他(tā)就提交給銀行，貸款批下(xià)來(lái)了(le)，房子就可以順利的買到(dào)了(le)。

一、爲什(shén)麽使用(yòng)防火牆 

　　防火牆具有很(hěn)好(hǎo)的保護作(zuò)用(yòng)。入侵者必須首先穿越防火牆的安全防線，才能(néng)接觸目标計(jì)算(suàn)機。你(nǐ)可以将防火牆配置成許多不同保護級别。高(gāo)級别的保護可能(néng)會(huì)禁止一些(xiē)服務，如視(shì)頻流等，但(dàn)至少這(zhè)是你(nǐ)自(zì)己的保護選擇。

二、防火牆的五大(dà)基礎的作(zuò)用(yòng)：

1.過濾進出網絡的數據 
2.管理(lǐ)進出訪問網絡的行爲 
3.封堵某些(xiē)禁止業務 
4.記錄通過防火牆信息内容和(hé)活動 
5.對(duì)網絡攻擊檢測和(hé)告警