引言：

所謂防火牆指的是一個由軟件和硬件設備組合而成、在内部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護内部網免受非法用戶的侵入，防火牆主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，防火牆就是一個位于計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火牆用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。

防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全防線，才能接觸目标計算機。你可以将防火牆配置成許多不同保護級别。高級别的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

機房為什麼需要防火牆？

A：Internet防火牆主要是為了防範黑客三種蓄意破壞的方式：

（1）入侵：最常見的破壞方式，入侵後就可以正當使用電腦。入侵者希望自己能變成合法的使用者，任意使用電腦。

（2）拒絕服務：最容易且不直接破壞系統的方式，黑客隻要發出如洪水般的垃圾封包就可以癱瘓某部電腦，使得系統無法正常提供服務。

（3）資訊竊盜：黑客竊取使用者的帳号及密碼，就可以進入電腦竊取所需的資訊。

防火牆能作些什麼？

（1）防火牆是保全決策的重點

防火牆為一個咽喉點，所有進入和出去的傳輸都必須通過這個狹窄、唯一的檢查點，在網路安全防護上，防火牆提供非常大的杠杆效益，因為它把安全措施集中在這個檢查點上。

（2）防火牆可以執行保全政策

防火牆強制執行站台的保全政策，隻讓『核準的』服務通過，而這些服務設定在Policy中。

（3）防火牆能有效率的記錄Internet的活動

由於所有的傳輸都經過防火牆，所以它成為收集系統和網路的使用或誤用資訊的最佳地點。

（4）防火牆可以減少網路暴露的危機

防火牆可以使得在防火牆内部的伺服主機與外界網路隔絕，避免有問題的封包影響到内部主機的安全。

防火牆無法作些什麼？

（1）防火牆管不到内部惡人

如果惡人已經在防火牆内可以無須接近防火牆，就可以偷竊資料、損壞硬體和軟體，并巧妙的修改程式。内部威脅需要内部安全措施，例如機房安全管理措施及人員訓練

（2）防火牆管不到不經過它的連線

對於不經過防火牆的傳輸，防火牆就無法發揮作用。例如某些站台允許直接通到内部主機的撥入存取或是技術及系統管理者會為他們自己設置進入網路等。

（3）防火牆無法防範全新的威脅

防火牆的設計是為了防範已知的威脅，一個設計完善的防火牆或許可以防範一些新威脅，如：除了少數可靠的服務外，拒絕一切其他的服務就可以防止使用者設置新的極不安全的服務。

（4）防火牆無法防範病毒

防火牆無法防範PC和Macintosh病毒進入網路，雖然防火牆會就來源位址、目的位址及port号碼作掃描，但不是細部資料，且使用最精巧的封包過濾或代理軟體對於防火牆而言也不太實際。

防火牆的用途和作用

Internet的發展給企業帶來了革命性的改革和開放，企業正努力通過利用它來提高市場反應速度和辦事效率，以便更具競争力。企業通過Internet，可以從異地取回重要數據，同時又要面對Internet開放帶來的數據安全的新挑戰和新危險：即客戶、銷售商、移動用戶、異地員工和内部員工的安全訪問；以及保護企業的機密信息不受黑客和工業間諜的入侵。因此企業必須加注安全的“戰壕”，而這些“戰壕”又要在哪裡修建呢?

基于Internet體系應用有兩大部分：Intranet和Extranet。Intranet是借助Internet的技術和設備在Internet上面構造出企業3W網，可放入企業全部信息；而Extranet是在電子商務、互相合作的需求下，用Intranet間的通道，可獲得其它體系中部分信息。因此按照一個企業的安全體系可知防火牆戰壕須在以下位置上位置：

①保證對主機和應用安全訪問；

②保證多種客戶機和服務器的安全性；

③保護關鍵部門不受到來自内部的攻擊、外部的攻擊、為通過Internet與遠程訪問的雇員、客戶、供應商提供安全通道。同時防火牆的安全性還要來自其良好的技術性能。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!