你知道電腦防火墻的都有哪些知識嗎?下面是學習啦小編收集整理的電腦防火墻的知識介紹，希望對大家有幫助~~

　　電腦防火墻的知識介紹

　　防火墻 (網(wǎng)絡術語)

　　防火墻(Firewall)，也稱防護墻，是由Check Point創(chuàng)立者Gil Shwed于1993年發(fā)明并引入國際互聯(lián)網(wǎng)(US5606668(A)1993-12-15)。它是一種位于內(nèi)部網(wǎng)絡與外部網(wǎng)絡之間的網(wǎng)絡安全系統(tǒng)。一項信息安全的防護系統(tǒng)，依照特定的規(guī)則，允許或是限制傳輸?shù)臄?shù)據(jù)通過。

　　所謂防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網(wǎng)關(Security Gateway)，從而保護內(nèi)部網(wǎng)免受非法用戶的侵入，防火墻主要由服務訪問規(guī)則、驗證工具、包過濾和應用網(wǎng)關4個部分組成，防火墻就是一個位于計算機和它所連接的網(wǎng)絡之間的軟件或硬件。該計算機流入流出的所有網(wǎng)絡通信和數(shù)據(jù)包均要經(jīng)過此防火墻。

　　在網(wǎng)絡中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實際上是一種隔離技術。防火墻是在兩個網(wǎng)絡通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進入你的網(wǎng)絡，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡中的黑客來訪問你的網(wǎng)絡。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進行通信。

　　什么是防火墻

　　XP系統(tǒng)相比于以往的Windows系統(tǒng)新增了許多的網(wǎng)絡功能(Windows 7的防火墻一樣很強大，可以很方便地定義過濾掉數(shù)據(jù)包)，例如Internet連接防火墻(ICF)，它就是用一段"代碼墻"把電腦和Internet分隔開，時刻檢查出入防火墻的所有數(shù)據(jù)包，決定攔截或是放行那些數(shù)據(jù)包。防火墻可以是一種硬件、固件或者軟件，例如專用防火墻設備就是硬件形式的防火墻，包過濾路由器是嵌有防火墻固件的路由器，而代理服務器等軟件就是軟件形式的防火墻。

　　ICF工作原理

　　ICF被視為狀態(tài)防火墻，狀態(tài)防火墻可監(jiān)視通過其路徑的所有通訊，并且檢查所處理的每個消息的源和目標地址。為了防止來自連接公用端的未經(jīng)請求的通信進入專用端，ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中，ICF將跟蹤源自該計算機的通信。與ICS一起使用時，ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網(wǎng)絡計算機的通信。所有Internet傳入通信都會針對于該表中的各項進行比較。只有當表中有匹配項時(這說明通訊交換是從計算機或?qū)Ｓ镁W(wǎng)絡內(nèi)部開始的)，才允許將傳入Internet通信傳送給網(wǎng)絡中的計算機。

　　源自外部源ICF計算機的通訊(如Internet)將被防火墻阻止，除非在“服務”選項卡上設置允許該通訊通過。ICF不會向你發(fā)送活動通知，而是靜態(tài)地阻止未經(jīng)請求的通訊，防止像端口掃描這樣的常見黑客襲擊。

　　防火墻的種類

　　防火墻從誕生開始，已經(jīng)歷了四個發(fā)展階段：基于路由器的防火墻、用戶化的防火墻工具套、建立在通用操作系統(tǒng)上的防火墻、具有安全操作系統(tǒng)的防火墻。常見的防火墻屬于具有安全操作系統(tǒng)的防火墻，例如NETEYE、NETSCREEN、TALENTIT等。

　　從結構上來分，防火墻有兩種：即代理主機結構和路由器+過濾器結構，后一種結構如下所示：內(nèi)部網(wǎng)絡過濾器(Filter)路由器(Router)Internet

　　從原理上來分，防火墻則可以分成4種類型：特殊設計的硬件防火墻、數(shù)據(jù)包過濾型、電路層網(wǎng)關和應用級網(wǎng)關。安全性能高的防火墻系統(tǒng)都是組合運用多種類型防火墻，構筑多道防火墻“防御工事”。[1]

　　吞吐量

　　網(wǎng)絡中的數(shù)據(jù)是由一個個數(shù)據(jù)包組成，防火墻對每個數(shù)據(jù)包的處理要耗費資源。吞吐量是指在沒有幀丟失的情況下，設備能夠接受的最大速率。其測試方法是：在測試中以一定速率發(fā)送一定數(shù)量的幀，并計算待測設備傳輸?shù)膸?，如果發(fā)送的幀與接收的幀數(shù)量相等，那么就將發(fā)送速率提高并重新測試;如果接收幀少于發(fā)送幀則降低發(fā)送速率重新測試，直至得出最終結果。吞吐量測試結果以比特/秒或字節(jié)/秒表示。

　　吞吐量和報文轉(zhuǎn)發(fā)率是關系防火墻應用的主要指標，一般采用FDT(Full Duplex Throughput)來衡量，指64字節(jié)數(shù)據(jù)包的全雙工吞吐量，該指標既包括吞吐量指標也涵蓋了報文轉(zhuǎn)發(fā)率指標。

　　主要類型

　　網(wǎng)絡層防火墻

　　網(wǎng)絡層防火墻可視為一種 IP 封包過濾器，運作在底層的TCP/IP協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻(病毒除外，防火墻不能防止病毒侵入)。這些規(guī)則通常可以經(jīng)由管理員定義或修改，不過某些防火墻設備可能只能套用內(nèi)置的規(guī)則。

　　我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項“否定規(guī)則”就予以放行。操作系統(tǒng)及網(wǎng)絡設備大多已內(nèi)置防火墻功能。

　　較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP地址、來源端口號、目的 IP 地址或端口號、服務類型(如 HTTP 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進行過濾。

　　應用層防火墻

　　應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作，您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進到受保護的機器里。

　　防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現(xiàn)而言，這個方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會考慮以這種方法設計。

　　XML 防火墻是一種新型態(tài)的應用層防火墻。

　　根據(jù)側重不同，可分為：包過濾型防火墻、應用層網(wǎng)關型防火墻、服務器型防火墻。

　　數(shù)據(jù)庫防火墻

　　數(shù)據(jù)庫防火墻是一款基于數(shù)據(jù)庫協(xié)議分析與控制技術的數(shù)據(jù)庫安全防護系統(tǒng)?；谥鲃臃烙鶛C制，實現(xiàn)數(shù)據(jù)庫的訪問行為控制、危險操作阻斷、可疑行為審計。

　　數(shù)據(jù)庫防火墻通過SQL協(xié)議分析，根據(jù)預定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫的外圍防御圈，實現(xiàn)SQL危險操作的主動預防、實時審計。

　　數(shù)據(jù)庫防火墻面對來自于外部的入侵行為，提供SQL注入禁止和數(shù)據(jù)庫虛擬補丁包功能。

　　基本特性

　　(一)內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間的所有網(wǎng)絡數(shù)據(jù)流都必須經(jīng)過防火墻

　　這是防火墻所處網(wǎng)絡位置特性，同時也是一個前提。因為只有當防火墻是內(nèi)、外部網(wǎng)絡之間通信的唯一通道，才可以全面、有效地保護企業(yè)網(wǎng)內(nèi)部網(wǎng)絡不受侵害。

　　根據(jù)美國國家安全局制定的《信息保障技術框架》，防火墻適用于用戶網(wǎng)絡系統(tǒng)的邊界，屬于用戶網(wǎng)絡邊界的安全保護設備。所謂網(wǎng)絡邊界即是采用不同安全策略的兩個網(wǎng)絡連接處，比如用戶網(wǎng)絡和互聯(lián)網(wǎng)之間連接、和其它業(yè)務往來單位的網(wǎng)絡連接、用戶內(nèi)部網(wǎng)絡不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡連接之間建立一個安全控制點，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實現(xiàn)對進、出內(nèi)部網(wǎng)絡的服務和訪問的審計和控制。

　　典型的防火墻體系網(wǎng)絡結構如下圖所示。從圖中可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡之間的通信都要經(jīng)過防火墻。

　　(二)只有符合安全策略的數(shù)據(jù)流才能通過防火墻

　　防火墻最基本的功能是確保網(wǎng)絡流量的合法性，并在此前提下將網(wǎng)絡的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機”，即具備兩個網(wǎng)絡接口，同時擁有兩個網(wǎng)絡層地址。防火墻將網(wǎng)絡上的流量通過相應的網(wǎng)絡接口接收上來，按照OSI協(xié)議棧的七層結構順序上傳，在適當?shù)膮f(xié)議層進行訪問規(guī)則和安全審查，然后將符合通過條件的報文從相應的網(wǎng)絡接口送出，而對于那些不符合通過條件的報文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的(網(wǎng)絡接口>=2)轉(zhuǎn)發(fā)設備，它跨接于多個分離的物理網(wǎng)段之間，并在報文轉(zhuǎn)發(fā)過程之中完成對報文的審查工作。

　　(三)防火墻自身應具有非常強的抗攻擊免疫力

　　這是防火墻之所以能擔當企業(yè)內(nèi)部網(wǎng)絡安全防護重任的先決條件。防火墻處于網(wǎng)絡邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強的抗擊入侵本領。它之所以具有這么強的本領防火墻操作系統(tǒng)本身是關鍵，只有自身具有完整信任關系的操作系統(tǒng)才可以談論系統(tǒng)的安全性。其次就是防火墻自身具有非常低的服務功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應用程序在防火墻上運行。當然這些安全性也只能說是相對的。

　　目前國內(nèi)的防火墻幾乎被國外的品牌占據(jù)了一半的市場，國外品牌的優(yōu)勢主要是在技術和知名度上比國內(nèi)產(chǎn)品高。而國內(nèi)防火墻廠商對國內(nèi)用戶了解更加透徹，價格上也更具有優(yōu)勢。防火墻產(chǎn)品中，國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等，國內(nèi)主流廠商為東軟、天融信、山石網(wǎng)科、網(wǎng)御神州、聯(lián)想、方正等，它們都提供不同級別的防火墻產(chǎn)品。

　　(四)應用層防火墻具備更細致的防護能力

　　自從Gartner提出下一代防火墻概念以來，信息安全行業(yè)越來越認識到應用層攻擊成為當下取代傳統(tǒng)攻擊，最大程度危害用戶的信息安全，而傳統(tǒng)防火墻由于不具備區(qū)分端口和應用的能力，以至于傳統(tǒng)防火墻僅僅只能防御傳統(tǒng)的攻擊，基于應用層的攻擊則毫無辦法。

　　從2011年開始，國內(nèi)廠家通過多年的技術積累，開始推出下一代防火墻，在國內(nèi)從第一家推出真正意義的下一代防火墻的網(wǎng)康科技開始，至今包擴東軟，天融信等在內(nèi)的傳統(tǒng)防火墻廠商也開始相互[3] 效仿，陸續(xù)推出了下一代防火墻，下一代防火墻具備應用層分析的能力，能夠基于不同的應用特征，實現(xiàn)應用層的攻擊過濾，在具備傳統(tǒng)防火墻、IPS、防毒等功能的同時，還能夠?qū)τ脩艉蛢?nèi)容進行識別管理，兼具了應用層的高性能和智能聯(lián)動兩大特性，能夠更好的針對應用層攻擊進行防護。

　　(五)數(shù)據(jù)庫防火墻針對數(shù)據(jù)庫惡意攻擊的阻斷能力

　　虛擬補丁技術：針對CVE公布的數(shù)據(jù)庫漏洞，提供漏洞特征檢測技術。

　　高危訪問控制技術：提供對數(shù)據(jù)庫用戶的登錄、操作行為，提供根據(jù)地點、時間、用戶、操作類型、對象等特征定義高危訪問行為。

　　SQL注入禁止技術：提供SQL注入特征庫。

　　返回行超標禁止技術：提供對敏感表的返回行數(shù)控制。

　　SQL黑名單技術：提供對非法SQL的語法抽象描述。

　　代理服務

　　代理服務設備(可能是一臺專屬的硬件，或只是普通機器上的一套軟件)也能像應用程序一樣回應輸入封包(例如連接要求)，同時封鎖其他的封包，達到類似于防火墻的效果。

　　代理使得由外在網(wǎng)絡竄改一個內(nèi)部系統(tǒng)更加困難，并且一個內(nèi)部系統(tǒng)誤用不一定會導致一個安全漏洞可從防火墻外面(只要應用代理剩下的原封和適當?shù)乇慌渲?被入侵。相反地，入侵者也許劫持一個公開可及的系統(tǒng)和使用它作為代理人為他們自己的目的;代理人然后偽裝作為那個系統(tǒng)對其它內(nèi)部機器。當對內(nèi)部地址空間的用途加強安全，破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網(wǎng)絡。

　　防火墻經(jīng)常有網(wǎng)絡地址轉(zhuǎn)換(NAT)的功能，并且主機被保護在防火墻之后共同地使用所謂的“私人地址空間”，依照被定義在[RFC 1918] 。 管理員經(jīng)常設置了這樣的情節(jié)：假裝內(nèi)部地址或網(wǎng)絡是安全的。

　　防火墻的適當?shù)呐渲靡蠹记珊椭悄堋?它要求管理員對網(wǎng)絡協(xié)議和電腦安全有深入的了解。 因小差錯可使防火墻不能作為安全工具。

　　主要優(yōu)點

　　(1)防火墻能強化安全策略。

　　(2)防火墻能有效地記錄Internet上的活動。

　　(3)防火墻限制暴露用戶點。防火墻能夠用來隔開網(wǎng)絡中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡傳播。

　　(4)防火墻是一個安全策略的檢查站。所有進出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點，使可疑的訪問被拒絕于門外。

　　使用技巧

　　一、所有的防火墻文件規(guī)則必須更改。

　　盡管這種方法聽起來很容易，但是由于防火墻沒有內(nèi)置的變動管理流程，因此文件更改對于許多企業(yè)來說都不是最佳的實踐方法。如果防火墻管理員因為突發(fā)情況或者一些其他形式的業(yè)務中斷做出更改，那么他撞到槍口上的可能性就會比較大。但是如果這種更改抵消了之前的協(xié)議更改，會導致宕機嗎?這是一個相當高發(fā)的狀況。

　　防火墻管理產(chǎn)品的中央控制臺能全面可視所有的防火墻規(guī)則基礎，因此團隊的所有成員都必須達成共識，觀察誰進行了何種更改。這樣就能及時發(fā)現(xiàn)并修理故障，讓整個協(xié)議管理更加簡單和高效。

　　二、以最小的權限安裝所有的訪問規(guī)則。

　　另一個常見的安全問題是權限過度的規(guī)則設置。防火墻規(guī)則是由三個域構成的：即源(IP地址)，目的地(網(wǎng)絡/子網(wǎng)絡)和服務(應用軟件或者其他目的地)。為了確保每個用戶都有足夠的端口來訪問他們所需的系統(tǒng)，常用方法是在一個或者更多域內(nèi)指定打來那個的目標對象。當你出于業(yè)務持續(xù)性的需要允許大范圍的IP地址來訪問大型企業(yè)的網(wǎng)絡，這些規(guī)則就會變得權限過度釋放，因此就會增加不安全因素。服務域的規(guī)則是開放65535個TCP端口的ANY。防火墻管理員真的就意味著為黑客開放了65535個攻擊矢量?

　　三、根據(jù)法規(guī)協(xié)議和更改需求來校驗每項防火墻的更改。

　　在防火墻操作中，日常工作都是以尋找問題，修正問題和安裝新系統(tǒng)為中心的。在安裝最新防火墻規(guī)則來解決問題，應用新產(chǎn)品和業(yè)務部門的過程中，我們經(jīng)常會遺忘防火墻也是企業(yè)安全協(xié)議的物理執(zhí)行者。每項規(guī)則都應該重新審核來確保它能符合安全協(xié)議和任何法規(guī)協(xié)議的內(nèi)容和精神，而不僅是一篇法律條文。

　　四、當服務過期后從防火墻規(guī)則中刪除無用的規(guī)則。

　　規(guī)則膨脹是防火墻經(jīng)常會出現(xiàn)的安全問題，因為多數(shù)運作團隊都沒有刪除規(guī)則的流程。業(yè)務部門擅長讓你知道他們了解這些新規(guī)則，卻從來不會讓防火墻團隊知道他們不再使用某些服務了。了解退役的服務器和網(wǎng)絡以及應用軟件更新周期對于達成規(guī)則共識是個好的開始。運行無用規(guī)則的報表是另外一步。黑客喜歡從來不刪除規(guī)則的防火墻團隊。

　　五、每年至少對防火墻完整的審核兩次。

　　如果你是名信用卡活動頻繁的商人，那么除非必須的話這項不是向你推薦的最佳實踐方法，因為支付卡行業(yè)標準1.1.6規(guī)定至少每隔半年要對防火墻進行一次審核。

　　相關功能

　　防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等。

　　防火墻最基本的功能就是控制在計算機網(wǎng)絡中，不同信任程度區(qū)域間傳送的數(shù)據(jù)流。例如互聯(lián)網(wǎng)是不可信任的區(qū)域，而內(nèi)部網(wǎng)絡是高度信任的區(qū)域。以避免安全策略中禁止的一些通信，與建筑中的防火墻功能相似。它有控制信息基本的任務在不同信任的區(qū)域。 典型信任的區(qū)域包括互聯(lián)網(wǎng)(一個沒有信任的區(qū)域)和一個內(nèi)部網(wǎng)絡(一個高信任的區(qū)域)。最終目標是提供受控連通性在不同水平的信任區(qū)域通過安全政策的運行和連通性模型之間根據(jù)最少特權原則。

　　例如：TCP/IPPort 135~139是Microsoft Windows的【網(wǎng)上鄰居】所使用的。如果計算機有使用【網(wǎng)上鄰居】的【共享文件夾】，又沒使用任何防火墻相關的防護措施的話，就等于把自己的【共享文件夾】公開到Internet，供不特定的任何人有機會瀏覽目錄內(nèi)的文件。且早期版本的Windows有【網(wǎng)上鄰居】系統(tǒng)溢出的無密碼保護的漏洞(這里是指【共享文件夾】有設密碼，但可經(jīng)由此系統(tǒng)漏洞，達到無須密碼便能瀏覽文件夾的需求)。

　　防火墻對流經(jīng)它的網(wǎng)絡通信進行掃描，這樣能夠過濾掉一些攻擊，以免其在目標計算機上被執(zhí)行。防火墻還可以關閉不使用的端口。而且它還能禁止特定端口的流出通信，封鎖特洛伊木馬。最后，它可以禁止來自特殊站點的訪問，從而防止來自不明入侵者的所有通信。

　　網(wǎng)絡安全

　　一個防火墻(作為阻塞點、控制點)能極大地提高一個內(nèi)部網(wǎng)絡的安全性，并通過過濾不安全的服務而降低風險。由于只有經(jīng)過精心選擇的應用協(xié)議才能通過防火墻，所以網(wǎng)絡環(huán)境變得更安全。如防火墻可以禁止諸如眾所周知的不安全的NFS協(xié)議進出受保護網(wǎng)絡，這樣外部的攻擊者就不可能利用這些脆弱的協(xié)議來攻擊內(nèi)部網(wǎng)絡。防火墻同時可以保護網(wǎng)絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

　　強化網(wǎng)絡安全策略

　　通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網(wǎng)絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經(jīng)濟。例如在網(wǎng)絡訪問時，一次一密口令系統(tǒng)和其它的身份認證系統(tǒng)完可以不必分散在各個主機上，而集中在防火墻一身上。

　　監(jiān)控網(wǎng)絡存取和訪問

　　如果所有的訪問都經(jīng)過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。當發(fā)生可疑動作時，防火墻能進行適當?shù)膱缶⑻峁┚W(wǎng)絡是否受到監(jiān)測和攻擊的詳細信息。另外，收集一個網(wǎng)絡的使用和誤用情況也是非常重要的。首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。而網(wǎng)絡使用統(tǒng)計對網(wǎng)絡需求分析和威脅分析等而言也是非常重要的。

　　防止內(nèi)部信息的外泄

　　通過利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而限制了局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡造成的影響。再者，隱私是內(nèi)部網(wǎng)絡非常關心的問題，一個內(nèi)部網(wǎng)絡中不引人注意的細節(jié)可能包含了有關安全的線索而引起外部攻擊者的興趣，甚至因此而暴漏了內(nèi)部網(wǎng)絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內(nèi)部細節(jié)如Finger，DNS等服務。Finger顯示了主機的所有用戶的注冊名、真名，最后登錄時間和使用shell類型等。但是Finger顯示的信息非常容易被攻擊者所獲悉。攻擊者可以知道一個系統(tǒng)使用的頻繁程度，這個系統(tǒng)是否有用戶正在連線上網(wǎng)，這個系統(tǒng)是否在被攻擊時引起注意等等。防火墻可以同樣阻塞有關內(nèi)部網(wǎng)絡中的DNS信息，這樣一臺主機的域名和IP地址就不會被外界所了解。

　　數(shù)據(jù)庫安全

　　實現(xiàn)數(shù)據(jù)庫安全的實時防護

　　數(shù)據(jù)庫防火墻通過SQL 協(xié)議分析，根據(jù)預定義的禁止和許可策略讓合法的SQL 操作通過，阻斷非法違規(guī)操作，形成數(shù)據(jù)庫的外圍防御圈,實現(xiàn)SQL 危險操作的主動預防、實時審計。

　　數(shù)據(jù)庫防火墻面對來自于外部的入侵行為，提供SQL 注入禁止和數(shù)據(jù)庫虛擬補丁包功能。

　　其他功能

　　除了安全作用，防火墻還支持具有Internet服務特性的企業(yè)內(nèi)部網(wǎng)絡技術體系(虛擬專用網(wǎng))。

　　防火墻的英文名為“FireWall”，它是目前一種最重要的網(wǎng)絡防護設備。從專業(yè)角度講，防火墻是位于兩個(或多個)網(wǎng)絡間，實施網(wǎng)絡之間訪問控制的一組組件集合。

　　相關知識

　　防火墻在網(wǎng)絡中經(jīng)常是以兩種圖標出現(xiàn)的。一種圖標非常形象，真正像一堵墻一樣。而另一種圖標則是從防火墻的過濾機制來形象化的，在圖標中有一個二極管圖標。而二極管我們知道，它具有單向?qū)щ娦?，這樣也就形象地說明了防火墻具有單向?qū)ㄐ?。這看起來與防火墻過濾機制有些矛盾，不過它卻完全體現(xiàn)了防火墻初期的設計思想，同時也在相當大程度上體現(xiàn)了當前防火墻的過濾機制。因為防火最初的設計思想是對內(nèi)部網(wǎng)絡總是信任的，而對外部網(wǎng)絡卻總是不信任的，所以最初的防火墻是只對外部進來的通信進行過濾，而對內(nèi)部網(wǎng)絡用戶發(fā)出的通信不作限制。當然防火墻在過濾機制上有所改變，不僅對外部網(wǎng)絡發(fā)出的通信連接要進行過濾，對內(nèi)部網(wǎng)絡用戶發(fā)出的部分連接請求和數(shù)據(jù)包同樣需要過濾，但防火墻仍只對符合安全策略的通信通過，也可以說具有“單向?qū)?rdquo;性。

　　防火墻的本義是指古代構筑和使用木制結構房屋的時候，為防止火災的發(fā)生和蔓延，人們將堅固的石塊堆砌在房屋周圍作為屏障，這種防護構筑物就被稱之為“防火墻”。其實與防火墻一起起作用的就是“門”。如果沒有門，各房間的人如何溝通呢，這些房間的人又如何進去呢?當火災發(fā)生時，這些人又如何逃離現(xiàn)場呢?這個門就相當于我們這里所講的防火墻的“安全策略”，所以在此我們所說的防火墻實際并不是一堵實心墻，而是帶有一些小孔的墻。這些小孔就是用來留給那些允許進行的通信，在這些小孔中安裝了過濾機制，也就是上面所介紹的“單向?qū)ㄐ?rdquo;。

　　我們通常所說的網(wǎng)絡防火墻是借鑒了古代真正用于防火的防火墻的喻義，它指的是隔離在本地網(wǎng)絡與外界網(wǎng)絡之間的一道防御系統(tǒng)。防火可以使企業(yè)內(nèi)部局域網(wǎng)(LAN)網(wǎng)絡與Internet之間或者與其他外部網(wǎng)絡互相隔離、限制網(wǎng)絡互訪用來保護內(nèi)部網(wǎng)絡。

電腦防火墻的知識介紹相關文章：

1.防火墻技術的介紹

2.防火墻基礎知識

3.防火墻相關的基礎知識

4.十大防火墻相關介紹

5.電腦防火墻用什么好

6.電腦防火墻有什么作用

7.防火墻類型及特性介紹

8.防火墻分類及原理