所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.下面就讓小編帶你去看看電腦防火墻基礎(chǔ)知識，希望能幫助到大家!

電腦小知識：計(jì)算機(jī)防火墻到底是什么?能不能阻止黑客的入侵?

在網(wǎng)絡(luò)中，所謂“防火墻”，是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法，它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度，它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò)，同時將你“不同意”的人和數(shù)據(jù)拒之門外，最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說，如果不通過防火墻，公司內(nèi)部的人就無法訪問Internet，Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。

作用

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù)，如視頻流等，但至少這是你自己的保護(hù)選擇。

從類型上來說我們主要是分為兩種

網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻[3]可視為一種 IP 封包過濾器(允許或拒絕封包資料通過的軟硬結(jié)合裝置)，運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式，只允許符合特定規(guī)則的封包通過，其余的一概禁止穿越防火墻(病毒除外，防火墻不能防止病毒侵入)。這些規(guī)則通?？梢越?jīng)由管理員定義或修改，不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來制定防火墻規(guī)則，只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行?，F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾，例如：來源 IP地址、來源端口號、目的 IP 地址或端口號、服務(wù)類型(如 WWW 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進(jìn)行過濾。

應(yīng)用層防火墻

應(yīng)用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運(yùn)作，您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。

防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實(shí)現(xiàn)而言，這個方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會考慮以這種方法設(shè)計(jì)。

__ML 防火墻是一種新型態(tài)的應(yīng)用層防火墻。

根據(jù)側(cè)重不同，可分為：包過濾型防火墻、應(yīng)用層網(wǎng)關(guān)型防火墻、服務(wù)器型防火墻。

基本特性

(一)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻

這是防火墻所處網(wǎng)絡(luò)位置特性，同時也是一個前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道，才可以全面、有效地保護(hù)企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)不受侵害。

根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》，防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界，屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個網(wǎng)絡(luò)連接處，比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點(diǎn)，通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流，實(shí)現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。

典型的防火墻體系網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。從圖中可以看出，防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng)，而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。

(二)只有符合安全策略的數(shù)據(jù)流才能通過防火墻

防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性，并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起，原始的防火墻是一臺“雙穴主機(jī)”，即具備兩個網(wǎng)絡(luò)接口，同時擁有兩個網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來，按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳，在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問規(guī)則和安全審查，然后將符合通過條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出，而對于那些不符合通過條件的報(bào)文則予以阻斷。因此，從這個角度上來說，防火墻是一個類似于橋接或路由器的、多端口的(網(wǎng)絡(luò)接口>=2)轉(zhuǎn)發(fā)設(shè)備，它跨接于多個分離的物理網(wǎng)段之間，并在報(bào)文轉(zhuǎn)發(fā)過程之中完成對報(bào)文的審查工作。

(三)防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力

這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣，它就像一個邊界衛(wèi)士一樣，每時每刻都要面對黑客的入侵，這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。它之所以具有這么強(qiáng)的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵，只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能，除了專門的防火墻嵌入系統(tǒng)外，再沒有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說是相對的。

目前國內(nèi)的防火墻幾乎被國外的品牌占據(jù)了一半的市場，國外品牌的優(yōu)勢主要是在技術(shù)和知名度上比國內(nèi)產(chǎn)品高。而國內(nèi)防火墻廠商對國內(nèi)用戶了解更加透徹，價(jià)格上也更具有優(yōu)勢。防火墻產(chǎn)品中，國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等，國內(nèi)主流廠商為東軟、天融信、山石網(wǎng)科、網(wǎng)御神州、聯(lián)想、方正等，它們都提供不同級別的防火墻產(chǎn)品。

優(yōu)點(diǎn)

(1)防火墻能強(qiáng)化安全策略。

(2)防火墻能有效地記錄Internet上的活動。

(3)防火墻限制暴露用戶點(diǎn)。防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣，能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。

(4)防火墻是一個安全策略的檢查站。所有進(jìn)出的信息都必須通過防火墻，防火墻便成為安全問題的檢查點(diǎn)，使可疑的訪問被拒絕于門外。

其他功能

除了安全作用，防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系(虛擬專用網(wǎng))。

防火墻的英文名為“FireWall”，它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講，防火墻是位于兩個(或多個)網(wǎng)絡(luò)間，實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合。

計(jì)算機(jī)隱私攻擊?；旌厦襟w

發(fā)展史

第一代防火墻

第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn)，采用了包過濾(Packet filter)技術(shù)。下圖表示了防火墻技術(shù)的簡單發(fā)展歷史。

第二、三代防火墻

1989年，貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻，即電路層防火墻，同時提出了第三代防火墻——應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。

第四代防火墻

1992年，USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年，以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。

第五代防火墻

1998年，NAI公司推出了一種自適應(yīng)代理(Adaptive pro__y)技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

一體化安全網(wǎng)關(guān)UTM

UTM統(tǒng)一威脅管理，在防火墻基礎(chǔ)上發(fā)展起來的，具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設(shè)備。由于同時開啟多項(xiàng)功能會大大降低UTM的處理性能，因此主要用于對性能要求不高的中低端領(lǐng)域。在中低端領(lǐng)域，UTM已經(jīng)出現(xiàn)了代替防火墻的趨勢，因?yàn)樵诓婚_啟附加功能的情況下，UTM本身就是一個防火墻，而附加功能又為用戶的應(yīng)用提供了更多選擇。在高端應(yīng)用領(lǐng)域，比如電信、金融等行業(yè)，仍然以專用的高性能防火墻、IPS為主流。

。

防火墻知識點(diǎn)

防火墻

(一)構(gòu)造要求：

1.防火墻應(yīng)直接設(shè)置在基礎(chǔ)上或鋼筋混凝土框架上，框架、梁等承重結(jié)構(gòu)的耐火極限不應(yīng)低于防火墻的耐火極限。防火墻應(yīng)從樓地面基層隔斷至梁、樓板或屋面板的地面基層。當(dāng)高層廠房(倉庫)屋頂承重結(jié)構(gòu)和屋面板的耐火極限不低于1.00h，其他建筑屋頂承重結(jié)構(gòu)和屋面板的耐火極限低于0.50h時，防火墻應(yīng)高出屋面0.5m以上。

2.防火墻橫截面中心距天窗端面的水平距離<4m，且天窗端面為可燃性墻體時，應(yīng)采取防止火勢蔓延的措施。

3.建筑物外墻如為難燃性墻體或可燃防火墻體時，防火墻應(yīng)突出墻的外表面0.4m以上，且防火墻兩側(cè)的外墻均應(yīng)為寬度≮2.0m的不燃性墻體，其耐火極限不低于外墻的耐火極限。

建筑外墻為不燃體時，防火墻可不凸出墻的外表面，緊靠防火門兩側(cè)的門、窗、洞口之間最近邊緣的水平距離應(yīng)≮2.0m;采取設(shè)置乙級防火窗等防止火災(zāi)蔓延的措施時，該距離不限。

4.防火墻上不應(yīng)開設(shè)門、窗、洞口，如必須開設(shè)時，應(yīng)采用不可開啟或火災(zāi)時能自行關(guān)閉的甲級防火門、窗?？扇?xì)怏w和甲、乙、丙類液體管道不應(yīng)穿過防火墻。其他管道如必須穿過時，應(yīng)用防火封堵材料將縫隙緊密填塞。

5.建筑物內(nèi)的防火墻不應(yīng)設(shè)在轉(zhuǎn)角處。如設(shè)在轉(zhuǎn)角附近，內(nèi)轉(zhuǎn)角兩側(cè)上的門窗洞口之間最近的水平距離應(yīng)≮4m。采用乙級窗時該距離不變

6. 設(shè)計(jì)防火墻時，應(yīng)考慮防火墻一側(cè)的屋架、梁、樓板等受到火災(zāi)的影響而破壞時，不致使防火墻倒塌。

(二)檢查內(nèi)容

1. 防火墻設(shè)置位置。

具體檢查要求為：(1)設(shè)置在建筑物的基礎(chǔ)或鋼筋混凝土框架、梁等承重結(jié)構(gòu)上的防火墻，應(yīng)從樓地面基層隔斷至梁、樓板或屋面結(jié)構(gòu)層的底面。(2)設(shè)置在轉(zhuǎn)角附近的防火墻，內(nèi)轉(zhuǎn)角兩側(cè)墻上的門、窗洞口之間最近邊緣的水平距離不得<4m,當(dāng)采取設(shè)置乙級防火窗等防止火災(zāi)水平蔓延的措施時，距離可不限。(3)防火墻的構(gòu)造應(yīng)能夠保證在防火墻任意一側(cè)的屋架、梁、樓板等受到火災(zāi)的影響而破壞時，不會導(dǎo)致防火墻倒塌。(4)緊靠防火墻兩側(cè)的門、窗、洞口之間最近邊緣的水平距離不得<2m;采取設(shè)置乙級防火窗等防止火災(zāi)水平蔓延的措施時，距離可不限。

2.防火墻墻體材料。防火墻的耐火極限一般要求為3.00h，對甲、乙類廠房和甲、乙、丙類倉庫，用于防火分區(qū)分隔的防火墻耐火極限應(yīng)保持≥4h。防火墻上必須開設(shè)門、窗和洞口時，必須設(shè)置不可開啟或火災(zāi)時能自動關(guān)閉的甲級防火門、窗。通常情況下，防火墻上不開設(shè)門、窗和洞口。

3.穿越防火墻的管道。防火墻內(nèi)不得設(shè)置排氣道、可燃?xì)怏w和甲、乙、丙類液體的管道。對穿過防火墻的其他管道，應(yīng)檢查其是否采用防火封堵材料將墻與管道之間的空隙緊密填實(shí);對穿過防火墻處的管道保溫材料，應(yīng)檢查其是否采用不燃材料;當(dāng)管道為難燃及可燃材料時，還應(yīng)檢查防火墻兩側(cè)的管道上采取的防火措施。

4.防火封堵的嚴(yán)密性。主要檢查防火墻、隔墻墻體與梁、樓板的結(jié)合是否緊密，是否無孔洞、縫隙;墻上的施工孔洞是否采用不燃材料填塞密實(shí)：墻體上嵌有箱體時是否在其背部采用不燃材料封堵，以及是否滿足墻體相應(yīng)地耐火極限要求。

不燃材料填塞密實(shí)：墻體上嵌有箱體時是否在其背部采用不燃材料封堵，以及是否滿足墻體相應(yīng)地耐火極限要求。答案：D舉例，2h的防火隔墻上用1.5小時的不燃材料。

IT運(yùn)維-防火墻基礎(chǔ)知識

們這里說的防火墻(Firewall)是一種網(wǎng)絡(luò)設(shè)備，它在網(wǎng)絡(luò)中起到兩個最基本的功能：劃分網(wǎng)絡(luò)的邊界、加固內(nèi)網(wǎng)的安全。

一、劃分網(wǎng)絡(luò)的邊界

防火墻設(shè)備的其中一個功能，就是劃分網(wǎng)絡(luò)的邊界，嚴(yán)格地將網(wǎng)絡(luò)分為“外網(wǎng)”和“內(nèi)網(wǎng)”。

“外網(wǎng)”則是防火墻認(rèn)為的——不安全的網(wǎng)絡(luò)，不受信任的網(wǎng)絡(luò);“內(nèi)網(wǎng)”則是防火墻認(rèn)為的——安全的網(wǎng)絡(luò)，受信任的網(wǎng)絡(luò)。

二、加固網(wǎng)絡(luò)的安全

防火墻的其中一個功能，就是網(wǎng)絡(luò)流量流向的問題(內(nèi)到外可以訪問，外到內(nèi)默認(rèn)不能訪問)，這就從一定程度上加強(qiáng)了網(wǎng)絡(luò)的安全性，那就是：“內(nèi)網(wǎng)屬于私有環(huán)境，外人非請莫入!”

另外，防火墻還能從另外一些方面來加固內(nèi)部網(wǎng)絡(luò)的安全：

1：隱藏內(nèi)部的網(wǎng)絡(luò)拓?fù)?/p>

這種情況用于互聯(lián)網(wǎng)防火墻。因?yàn)閮?nèi)網(wǎng)一般都會使用私有IP地址，而互聯(lián)網(wǎng)是Internet的IP地址。

由于在IPv4環(huán)境下IP地址不足，內(nèi)部使用大量的私有地址，轉(zhuǎn)換到外部少量的Internet地址，這樣的話，外部網(wǎng)絡(luò)就不會了解到內(nèi)部網(wǎng)絡(luò)的路由，也就沒法了解到內(nèi)部網(wǎng)絡(luò)的拓?fù)淞恕?/p>

同時，防火墻上還會使用NAT技術(shù)，將內(nèi)部的服務(wù)器映射到外部，所以從外部訪問服務(wù)器的時候只能了解到映射后的外部地址，根本不會了解到映射前的內(nèi)部地址。

2：帶有安全檢測防御

這種功能并不是每一款防火墻都有。

安全檢測系統(tǒng)(簡稱“IDS”)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報(bào)或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。

它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動的安全防護(hù)技術(shù)。

3：會話日志功能

防火墻都有“會話記錄”功能，每一個數(shù)據(jù)包在經(jīng)過防火墻之后，都可以在防火墻的會話表中查詢到歷史訪問記錄。

如果是外部主機(jī)訪問內(nèi)部呢?當(dāng)然，在你的內(nèi)部網(wǎng)絡(luò)遭受不安全以后，可以在防火墻上查到從外到內(nèi)，到底是哪個IP地址非法闖入了。

三、防火墻在企業(yè)環(huán)境的應(yīng)用

1：互聯(lián)網(wǎng)出口設(shè)備

這估計(jì)是大家最能想到的一種用途吧。

因?yàn)镮nternet就是一個最典型的“外網(wǎng)”，當(dāng)企業(yè)網(wǎng)絡(luò)接入Internet的時候，為了保證內(nèi)部網(wǎng)絡(luò)不受來自外部的威脅侵害，就會在互聯(lián)網(wǎng)出口的位置部署防火墻。

2：分支機(jī)構(gòu)接骨干網(wǎng)作邊界設(shè)備

在電力行業(yè)、金融行業(yè)等大型跨地，跨省的企業(yè)時，為了企業(yè)中各個省級、地市級單位的內(nèi)部數(shù)據(jù)通信通常都會自建一張骨干網(wǎng)絡(luò)。

每個省級、地市級單位辦公網(wǎng)絡(luò)接入骨干網(wǎng)時，就可以在網(wǎng)絡(luò)接入點(diǎn)部署防火墻，進(jìn)一步提高每個單位的辦公網(wǎng)絡(luò)安全性。

3：數(shù)據(jù)中心內(nèi)保護(hù)服務(wù)器

數(shù)據(jù)中心(DataCenter)是為企業(yè)存放重要數(shù)據(jù)資料的，同時數(shù)據(jù)中心內(nèi)會放置各種各樣功能不一的服務(wù)器。

想要保證數(shù)據(jù)的安全，首先就要保證這些服務(wù)器的安全。物理上的安全嘛，你就防火防水防賊唄，應(yīng)用上的安全，找殺毒軟件嘛;但是在網(wǎng)絡(luò)上防止，防止非授權(quán)人員操作服務(wù)器，就需要到防火墻來發(fā)揮作用了。

一般在傳統(tǒng)的數(shù)據(jù)中心內(nèi)，會根據(jù)不同的功能來決定服務(wù)器的分區(qū)，然后在每個分區(qū)和核心設(shè)備的連接處部署防火墻。

四、防火墻并不普適

不是任何場合都適合部署防火墻。

誰都知道安全性和方便性有時候會有那么一些沖突。防火墻作為一種網(wǎng)絡(luò)安全設(shè)備，部署在網(wǎng)絡(luò)中會對穿過防火墻的數(shù)據(jù)包進(jìn)行攔截，然后確定它符合策略要求以后才會放行。這會對網(wǎng)絡(luò)傳輸效率造成一定影響。

所以防火墻一般用于數(shù)據(jù)中心，大型企業(yè)總部，國有企業(yè)省級、地區(qū)級辦公機(jī)構(gòu)，帶有服務(wù)器區(qū)域的網(wǎng)絡(luò)環(huán)境或機(jī)密性較高的單位。

五、防火墻的分類

防火墻按照功能和級別的不同，一般分類這么三類：包過濾型防火墻、狀態(tài)檢測型防火墻、代理型防火墻。

1：包過濾型防火墻

這種防火墻只能實(shí)現(xiàn)最基礎(chǔ)的包過濾功能，按照既定的訪問控制列表對數(shù)據(jù)包的三、四層信息進(jìn)行控制，詳細(xì)一點(diǎn)就是：

三層信息：源IP地址，目標(biāo)IP地址

四層信息：源端口，目標(biāo)端口

這種情況其實(shí)用一個路由器或者三層交換機(jī)，配置ACL就能實(shí)現(xiàn)。

只有符合了條件的數(shù)據(jù)包才能被放行，不符合條件的數(shù)據(jù)包無論如何都不會被放行。但是包過濾型防火墻的性質(zhì)就是那么“教條”與“頑固不化”!

2：狀態(tài)檢測型防火墻

狀態(tài)檢測型防火墻就是為了解決“傻~”的包過濾型防火墻而存在的。它比包過濾型防火墻還多了一層“狀態(tài)檢測”功能。

狀態(tài)化檢測型防火墻可以識別出主動流量和被動流量，如果主動流量是被允許的，那么被動流量也是被允許的。

例如TCP的三次握手中，第一次流量是主動流量，從內(nèi)到外，第二次流量就是從外到內(nèi)的被動流量，這可以被狀態(tài)監(jiān)測型防火墻識別出并且放行。

狀態(tài)監(jiān)測型防火墻會有一張“連接表”，里面記錄合法流量的信息。當(dāng)被動流量彈回時，防火墻就會檢查“連接表”，只要在“連接表”中查到匹配的記錄，就會放行這個流量。

第一次握手，內(nèi)部主機(jī)10.112.100.101使用隨機(jī)端口10025訪問外部的WebServer

200.100.1.2的TCP 80

三層信息

源IP地址：10.112.100.101 目標(biāo)IP地址：200.100.1.2源端口：TCP 10025 目標(biāo)端口：TCP 80

由于內(nèi)部接口放行所有流量，所以這個第一次握手的流量被放行了

但此時，防火墻在連接表中生成了如下內(nèi)容：

第二次握手時，是外部主機(jī)被動彈回的流量

源地址(外部)：200.100.1.2 源端口(外部)：TCP 80

目標(biāo)地址(內(nèi)部)：10.112.100.101 目標(biāo)端口(內(nèi)部)：TCP 10025

此時，防火墻會暫時攔截流量，然后檢查連接表，看看內(nèi)部主機(jī)的IP和端口，外部主機(jī)的IP和端口是否與連接表中記錄的相同，如果相同，它就會放行這個流量。

如果是外部主動發(fā)起的流量，而防火墻又沒有允許它訪問內(nèi)部，由于是外部主動發(fā)起的流量，所以防火墻的連接表里沒有相應(yīng)的信息，這就會遭到防火墻的拒絕。

從而達(dá)到既保證了內(nèi)部到外部的正常通信，又使得內(nèi)部主機(jī)不受到外部的侵犯，這就是狀態(tài)檢測型防火墻的魅力所在。

目前主流的硬件防火墻幾乎都支持狀態(tài)監(jiān)測功能。

3：代理型防火墻

代理型防火墻一般是一個安裝在多網(wǎng)卡服務(wù)器上的軟件，擁有狀態(tài)監(jiān)測的功能，但是多了一項(xiàng)功能就是代理服務(wù)器功能。一般有正向代理和反向代理兩種功能：

正向代理用于內(nèi)部主機(jī)訪問Internet服務(wù)器的時候，特別是Web服務(wù)的時候很管用。當(dāng)內(nèi)部主機(jī)第一次訪問外部的Web服務(wù)器時，代理服務(wù)器會將訪問后的內(nèi)容放在自己的“高速緩存”中。

當(dāng)內(nèi)部主機(jī)再次訪問該Web服務(wù)器的時候，如果有相同的內(nèi)容，代理服務(wù)器就會將這個訪問定位到自己的高速緩存，從而提升內(nèi)部主機(jī)的訪問速度。

反向代理和正向代理有點(diǎn)類似，只不過訪問的方向是外部到內(nèi)部。

當(dāng)外部主機(jī)要訪問內(nèi)部發(fā)布的某個服務(wù)器的時候，不會讓它把訪問目標(biāo)定位到內(nèi)部服務(wù)器上，而是反向代理設(shè)備上。

反向代理設(shè)備會從真實(shí)的服務(wù)器上抽取數(shù)據(jù)到自己的緩存中，起到保護(hù)真實(shí)服務(wù)器的功能。

電腦防火墻基礎(chǔ)知識相關(guān)文章：

★ 防火墻的基礎(chǔ)知識大全有哪些

★ 電腦系統(tǒng)安全基礎(chǔ)知識大全有哪些

★ 【電腦知識】:防火墻的工作技術(shù)分類與基礎(chǔ)原理是什么?

★ 系統(tǒng)安全基礎(chǔ)知識大全有哪些

★ 電腦安全設(shè)置及防護(hù)

★ 【網(wǎng)絡(luò)安全】:網(wǎng)絡(luò)安全基礎(chǔ)知識點(diǎn)匯總

★ 工作必備計(jì)算機(jī)技巧知識有哪些

★ Win10系統(tǒng)的基礎(chǔ)知識大全有哪些

★ 電腦基礎(chǔ)常識和必備技巧大全有什么

★ 網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)知識入門