防火墙

防火墙的定义
  为什么使用防火墙?
  防火墙的类型
  防火墙的概念
  防火墙的功能
  防火墙的三种配置
  防火墙的发展史
  防火墙工作原理简介
  在安装和实用中的注意事项
  电影《防火墙》
  幕后制作 防火墙的定义
  为什么使用防火墙?
  防火墙的类型
  防火墙的概念
  防火墙的功能
  防火墙的三种配置
  防火墙的发展史
  防火墙工作原理简介
    在安装和实用中的注意事项电影《防火墙》幕后制作 

　　
[编辑本段]防火墙的定义
　　所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security
Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，
　　防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。

　　防火墙 英语为firewall
《英汉证券投资词典》的解释为：金融机构内部将银行业务与证券业务严格区分开来的法律屏障，旨在防止可能出现的内幕消息共享等不公平交易出现。使用防火墙比喻不要引火烧身。
[编辑本段]为什么使用防火墙?
　　防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。
[编辑本段]防火墙的类型
　　一个个人防火墙, 通常软件应用过滤信息进入或留下。一台电脑和一个传统防火墙通常跑在一台专用的网络设备或电脑被安置在两个或更多网络或DMZs
(解除军事管制区域) 界限。 这样防火墙过滤所有信息进入或留下被连接的网络。 后者定义对应于"防火墙" 的常规意思在网络, 和下面会谈谈这类型防火墙。
以下是两个主要类防火墙: 网络层防火墙和 应用层防火墙。 这两类型防火墙也许重叠; 的确, 单一系统会两个一起实施。
　　网络层防火墙
　　网络层防火墙可视为一种 IP 封包过滤器，运作在底层的 TCP/IP
协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。
　　我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。
　　较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是
FTP)。也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
　　应用层防火墙
　　应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP
时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包(通常是直接将封包丢弃)。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
　　防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂(软件有千千百百种啊)，所以大部分的防火墙都不会考虑以这种方法设计。
　　XML 防火墙是一种新型态的应用层防火墙。
　　代理服务
　　代理服务设备(可能是一台专属的硬件，或只是普通机器上的一套软件)也能像应用程序一样回应输入封包(例如连接要求)，同时封锁其他的封包，达到类似于防火墙的效果。
　　代理由外在网络使窜改一个内部系统更加困难, 并且一个内部系统误用不一定会导致一个安全漏洞可开采从防火墙外面(只要应用代理剩下的原封和适当地被配置) 。
相反地, 入侵者也许劫持一个公开可及的系统和使用它作为代理人为他们自己的目的; 代理人然后伪装作为那个系统对其它内部机器。 当对内部地址空间的用途加强安全,
破坏狂也许仍然使用方法譬如IP 欺骗试图通过小包对目标网络。
　　防火墙经常有网络地址转换(NAT) 的功能, 并且主机被保护在防火墙之后共同地使用所谓的“私人地址空间”, 依照被定义在[RFC 1918] 。
管理员经常设置了这样情节在努力(无定论的有效率) 假装内部地址或网络。
　　防火墙的适当的配置要求技巧和智能。 它要求管理员对网络协议和电脑安全有深入的了解。 因小差错可使防火墙不能作为安全工具。[1][2][3]
[编辑本段]防火墙的概念
　　当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。在电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

　　防火墙的优点[6]：
　　（1）防火墙能强化安全策略。
　　（2）防火墙能有效地记录Internet上的活动。
　　（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。
　　（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。
[编辑本段]防火墙的功能
　　防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。
典型信任的区域包括互联网(一个没有信任的区域) 和一个内部网络(一个高信任的区域) 。
最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。
　　例如：TCP/IP Port 135~139是 Microsoft Windows
的【网上邻居】所使用的。如果计算机有使用【网上邻居】的【共享文件夹】，又没使用任何防火墙相关的防护措施的话，就等于把自己的【共享文件夹】公开到Internet，供不特定的任何人有机会浏览目录内的文件。且早期版本的Windows有【网上邻居】系统溢出的无密码保护的漏洞（这里是指【共享文件夹】有设密码，但可经由此系统漏洞，达到无须密码便能浏览文件夹的需求）。
　　防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

　　防火墙是网络安全的屏障：
　　一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

　　防火墙可以强化网络安全策略：
　　通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

　　对网络存取和访问进行监控审计：
　　如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

　　防止内部信息的外泄：
　　通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

　　除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。
　　防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个(或多个)网络间，实施网络之间访问控制的一组组件集合。
　　防火墙在网络中经常是以下图所示的两种图标出现的。左边那个图标非常形象，真正像一堵墙一样。而右边那个图标则是从防火墙的过滤机制来形象化的，在图标中有一个二极管图标。而二极管我们知道，它具有单向导电性，这样也就形象地说明了防火墙具有单向导通性。这看起来与现在防火墙过滤机制有些矛盾，不过它却完全体现了防火墙初期的设计思想，同时也在相当大程度上体现了当前防火墙的过滤机制。因为防火最初的设计思想是对内部网络总是信任的，而对外部网络却总是不信任的，所以最初的防火墙是只对外部进来的通信进行过滤，而对内部网络用户发出的通信不作限制。当然目前的防火墙在过滤机制上有所改变，不仅对外部网络发出的通信连接要进行过滤，对内部网络用户发出的部分连接请求和数据包同样需要过滤，但防火墙仍只对符合安全策略的通信通过，也可以说具有“单向导通”性。
　　防火墙的本义是指古代构筑和使用木制结构房屋的时候，为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围作为屏障，这种防护构筑物就被称之为“防火墙”。其实与防火墙一起起作用的就是“门”。如果没有门，各房间的人如何沟通呢，这些房间的人又如何进去呢？当火灾发生时，这些人又如何逃离现场呢？这个门就相当于我们这里所讲的防火墙的“安全策略”，所以在此我们所说的防火墙实际并不是一堵实心墙，而是带有一些小孔的墙。这些小孔就是用来留给那些允许进行的通信，在这些小孔中安装了过滤机制，也就是上面所介绍的“单向导通性”。

　　我们通常所说的网络防火墙是借鉴了古代真正用于防火的防火墙的喻义，它指的是隔离在本地网络与外界网络之间的一道防御系统。防火可以使企业内部局域网（LAN）网络与Internet之间或者与其他外部网络互相隔离、限制网络互访用来保护内部网络。典型的防火墙具有以下三个方面的基本特性：
　　（一）内部网络和外部网络之间的所有网络数据流都必须经过防火墙
　　这是防火墙所处网络位置特性，同时也是一个前提。因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网部网络不受侵害。
　　根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。
　　典型的防火墙体系网络结构如下图所示。从图中可以看出，防火墙的一端连接企事业单位内部的局域网，而另一端则连接着互联网。所有的内、外部网络之间的通信都要经过防火墙。
　　（二）只有符合安全策略的数据流才能通过防火墙
　　防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传，在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。如下图：
　　（三）防火墙自身应具有非常强的抗攻击免疫力
　　这是防火墙之所以能担当企业内部网络安全防护重任的先决条件。防火墙处于网络边缘，它就像一个边界卫士一样，每时每刻都要面对黑客的入侵，这样就要求防火墙自身要具有非常强的抗击入侵本领。它之所以具有这么强的本领防火墙操作系统本身是关键，只有自身具有完整信任关系的操作系统才可以谈论系统的安全性。其次就是防火墙自身具有非常低的服务功能，除了专门的防火墙嵌入系统外，再没有其它应用程序在防火墙上运行。当然这些安全性也只能说是相对的。
　　目前国内的防火墙几乎被国外的品牌占据了一半的市场，国外品牌的优势主要是在技术和知名度上比国内产品高。而国内防火墙厂商对国内用户了解更加透彻，价格上也更具有优势。防火墙产品中，国外主流厂商为思科（Cisco）、CheckPoint、NetScreen等，国内主流厂商为东软、天融信、网御神州、联想、方正等，它们都提供不同级别的防火墙产品。
　　防火墙的硬件体系结构曾经历过通用CPU架构、ASIC架构和网络处理器架构，他们各自的特点分别如下：
　　通用CPU架构
　　通用CPU架构最常见的是基于Intel X86架构的防火墙，在百兆防火墙中Intel
X86架构的硬件以其高灵活性和扩展性一直受到防火墙厂商的青睐；由于采用了PCI总线接口，Intel
X86架构的硬件虽然理论上能达到2Gbps的吞吐量甚至更高，但是在实际应用中，尤其是在小包情况下，远远达不到标称性能，通用CPU的处理能力也很有限。
　　国内安全设备主要采用的就是基于X86的通用CPU架构。
　　ASIC架构
　　ASIC（Application Specific Integrated
Circuit，专用集成电路）技术是国外高端网络设备几年前广泛采用的技术。由于采用了硬件转发模式、多总线技术、数据层面与控制层面分离等技术，
ASIC架构防火墙解决了带宽容量和性能不足的问题，稳定性也得到了很好的保证。
　　ASIC技术的性能优势主要体现在网络层转发上，而对于需要强大计算能力的应用层数据的处理则不占优势，而且面对频繁变异的应用安全问题，其灵活性和扩展性也难以满足要求。
　　由于该技术有较高的技术和资金门槛，主要是国内外知名厂商在采用，国外主要代表厂商是Netscreen，国内主要代表厂商为天融信、网御神州。
　　网络处理器架构
　　由于网络处理器所使用的微码编写有一定技术难度，难以实现产品的最优性能，因此网络处理器架构的防火墙产品难以占有大量的市场份额。
[编辑本段]防火墙的三种配置
　　防火墙配置有三种：Dual-homed方式、Screened- host方式和Screened-subnet方式。
　　Dual-homed方式最简单。
Dual-homedGateway放置在两个网络之间，这个Dual-omedGateway又称为bastionhost。这种结构成本低，但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。
　　Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。
　　Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为”停火区”（DMZ，即DemilitarizedZone）,Bastionhost放置在”停火区”内。这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。
[编辑本段]防火墙的发展史
　　第一代防火墙
　　第一代防火墙技术几乎与路由器同时出现，采用了包过滤（Packet filter）技术。下图表示了防火墙技术的简单发展历史。
　　第二、三代防火墙
　　1989年，贝尔实验室的Dave Presotto和Howard
Trickey推出了第二代防火墙，即电路层防火墙，同时提出了第三代防火墙——应用层防火墙（代理防火墙）的初步结构。
　　第四代防火墙
　　1992年，USC信息科学院的BobBraden开发出了基于动态包过滤（Dynamic packet
filter）技术的第四代防火墙，后来演变为目前所说的状态监视（Stateful
inspection）技术。1994年，以色列的CheckPoint公司开发出了第一个采用这种技术的商业化的产品。
　　第五代防火墙
　　1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for
NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。
　　一体化安全网关UTM
　　随着万兆UTM的出现，UTM代替防火墙的趋势不可避免。在国际上，飞塔公司高性能的UTM占据了一定的市场份额，国内，启明星辰的高性能UTM则一直领跑国内市场。
[编辑本段]防火墙工作原理简介
　　防火墙就是一种过滤塞（目前你这么理解不算错），你可以让你喜欢的东西通过这个塞子，别的玩意都统统过滤掉。在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

　　天下的防火墙至少都会说两个词：Yes或者No。直接说就是接受或者拒绝。最简单的防火墙是以太网桥。但几乎没有人会认为这种原始防火墙能管多大用。大多数防火墙采用的技术和标准可谓五花八门。这些防火墙的形式多种多样：有的取代系统上已经装备的TCP/IP协议栈；有的在已有的协议栈上建立自己的软件模块；有的干脆就是独立的一套操作系统。还有一些应用型的防火墙只对特定类型的网络连接提供保护（比如SMTP或者HTTP协议等）。还有一些基于硬件的防火墙产品其实应该归入安全路由器一类。以上的产品都可以叫做防火墙，因为他们的工作方式都是一样的：分析出入防火墙的数据包，决定放行还是把他们扔到一边。

　　所有的防火墙都具有IP地址过滤功能。这项任务要检查IP包头，根据其IP源地址和目标地址作出放行/丢弃决定。看看下面这张图，两个网段之间隔了一个防火墙，防火墙的一端有台UNIX计算机，另一边的网段则摆了台PC客户机。
　　当PC客户机向UNIX计算机发起telnet请求时，PC的telnet客户程序就产生一个TCP包并把它传给本地的协议栈准备发送。接下来，协议栈将这个TCP包“塞”到一个IP包里，然后通过PC机的TCP/IP栈所定义的路径将它发送给UNIX计算机。在这个例子里，这个IP包必须经过横在PC和UNIX计算机中的防火墙才能到达UNIX计算机。

　　现在我们“命令”（用专业术语来说就是配制）防火墙把所有发给UNIX计算机的数据包都给拒了，完成这项工作以后，“心肠”比较好的防火墙还会通知客户程序一声呢！既然发向目标的IP数据没法转发，那么只有和UNIX计算机同在一个网段的用户才能访问UNIX计算机了。

　　还有一种情况，你可以命令防火墙专给那台可怜的PC机找茬，别人的数据包都让过就它不行。这正是防火墙最基本的功能：根据IP地址做转发判断。但要上了大场面这种小伎俩就玩不转了，由于黑客们可以采用IP地址欺骗技术，伪装成合法地址的计算机就可以穿越信任这个地址的防火墙了。不过根据地址的转发决策机制还是最基本和必需的。另外要注意的一点是，不要用DNS主机名建立过滤表，对DNS的伪造比IP地址欺骗要容易多了。

　　服务器TCP/UDP 端口过滤
　　仅仅依靠地址进行数据过滤在实际运用中是不可行的，还有个原因就是目标主机上往往运行着多种通信服务，比方说，我们不想让用户采用
telnet的方式连到系统，但这绝不等于我们非得同时禁止他们使用SMTP/POP邮件服务器吧？所以说，在地址之外我们还要对服务器的TCP/ UDP端口进行过滤。

　　比如，默认的telnet服务连接端口号是23。假如我们不许PC客户机建立对UNIX计算机（在这时我们当它是服务器）的telnet连接，那么我们只需命令防火墙检查发送目标是UNIX服务器的数据包，把其中具有23目标端口号的包过滤就行了。这样，我们把IP地址和目标服务器TCP/UDP端口结合起来不就可以作为过滤标准来实现相当可靠的防火墙了吗？不，没这么简单。

　　客户机也有TCP/UDP端口
　　TCP/IP是一种端对端协议，每个网络节点都具有唯一的地址。网络节点的应用层也是这样，处于应用层的每个应用程序和服务都具有自己的对应“地址”，也就是端口号。地址和端口都具备了才能建立客户机和服务器的各种应用之间的有效通信联系。比如，telnet服务器在端口23侦听入站连接。同时telnet客户机也有一个端口号，否则客户机的IP栈怎么知道某个数据包是属于哪个应用程序的呢？

　　由于历史的原因，几乎所有的TCP/IP客户程序都使用大于1023的随机分配端口号。只有UNIX计算机上的root用户才可以访问1024以下的端口，而这些端口还保留为服务器上的服务所用。所以，除非我们让所有具有大于1023端口号的数据包进入网络，否则各种网络连接都没法正常工作。

　　这对防火墙而言可就麻烦了，如果阻塞入站的全部端口，那么所有的客户机都没法使用网络资源。因为服务器发出响应外部连接请求的入站（就是进入防火墙的意思）数据包都没法经过防火墙的入站过滤。反过来，打开所有高于1023的端口就可行了吗？也不尽然。由于很多服务使用的端口都大于1023，比如X
client、基于RPC的NFS服务以及为数众多的非UNIX
IP产品等（NetWare/IP）就是这样的。那么让达到1023端口标准的数据包都进入网络的话网络还能说是安全的吗？连这些客户程序都不敢说自己是足够安全的。
　　
　　双向过滤
　　OK，咱们换个思路。我们给防火墙这样下命令：已知服务的数据包可以进来，其他的全部挡在防火墙之外。比如，如果你知道用户要访问Web服务器，那就只让具有源端口号80的数据包进入网络：
　　不过新问题又出现了。首先，你怎么知道你要访问的服务器具有哪些正在运行的端口号呢？
象HTTP这样的服务器本来就是可以任意配置的，所采用的端口也可以随意配置。如果你这样设置防火墙，你就没法访问哪些没采用标准端口号的的网络站点了！反过来，你也没法保证进入网络的数据包中具有端口号80的就一定来自Web服务器。有些黑客就是利用这一点制作自己的入侵工具，并让其运行在本机的80端口！

　　检查ACK位
　　源地址我们不相信，源端口也信不得了，这个不得不与黑客共舞的疯狂世界上还有什么值得我们信任呢？还好，事情还没到走投无路的地步。对策还是有的，不过这个办法只能用于TCP协议。

　　TCP是一种可靠的通信协议，“可靠”这个词意味着协议具有包括纠错机制在内的一些特殊性质。为了实现其可靠性，每个TCP连接都要先经过一个“握手”过程来交换连接参数。还有，每个发送出去的包在后续的其他包被发送出去之前必须获得一个确认响应。但并不是对每个TCP包都非要采用专门的ACK包来响应，实际上仅仅在TCP包头上设置一个专门的位就可以完成这个功能了。所以，只要产生了响应包就要设置ACK位。连接会话的第一个包不用于确认，所以它就没有设置ACK位，后续会话交换的TCP包就要设置ACK位了。
　　举个例子，PC向远端的Web服务器发起一个连接，它生成一个没有设置ACK位的连接请求包。当服务器响应该请求时，服务器就发回一个设置了ACK位的数据包，同时在包里标记从客户机所收到的字节数。然后客户机就用自己的响应包再响应该数据包，这个数据包也设置了ACK位并标记了从服务器收到的字节数。通过监视ACK位，我们就可以将进入网络的数据限制在响应包的范围之内。于是，远程系统根本无法发起TCP连接但却能响应收到的数据包了。

　　这套机制还不能算是无懈可击，简单地举个例子，假设我们有台内部Web服务器，那么端口80就不得不被打开以便外部请求可以进入网络。还有，对UDP包而言就没法监视ACK位了，因为UDP包压根就没有ACK位。还有一些TCP应用程序，比如FTP，连接就必须由这些服务器程序自己发起。

　　FTP带来的困难
　　一般的Internet服务对所有的通信都只使用一对端口号，FTP程序在连接期间则使用两对端口号。第一对端口号用于FTP的“命令通道”提供登录和执行命令的通信链路，而另一对端口号则用于FTP的“数据通道”提供客户机和服务器之间的文件传送。

　　在通常的FTP会话过程中，客户机首先向服务器的端口21（命令通道）发送一个TCP连接请求，然后执行LOGIN、DIR等各种命令。一旦用户请求服务器发送数据，FTP服务器就用其20端口
(数据通道)向客户的数据端口发起连接。问题来了，如果服务器向客户机发起传送数据的连接，那么它就会发送没有设置ACK位的数据包，防火墙则按照刚才的规则拒绝该数据包同时也就意味着数据传送没戏了。通常只有高级的、也就是够聪明的防火墙才能看出客户机刚才告诉服务器的端口，然后才许可对该端口的入站连接。

　　UDP端口过滤
　　好了，现在我们回过头来看看怎么解决UDP问题。刚才说了，UDP包没有ACK位所以不能进行ACK位过滤。UDP
是发出去不管的“不可靠”通信，这种类型的服务通常用于广播、路由、多媒体等广播形式的通信任务。NFS、DNS、WINS、NetBIOS-over-TCP/IP和
NetWare/IP都使用UDP。
　　看来最简单的可行办法就是不允许建立入站UDP连接。防火墙设置为只许转发来自内部接口的UDP包，来自外部接口的UDP包则不转发。现在的问题是，比方说，DNS名称解析请求就使用UDP，如果你提供DNS服务，至少得允许一些内部请求穿越防火墙。还有IRC这样的客户程序也使用UDP，如果要让你的用户使用它，就同样要让他们的UDP包进入网络。我们能做的就是对那些从本地到可信任站点之间的连接进行限制。但是，什么叫可信任！如果黑客采取地址欺骗的方法不又回到老路上去了吗？

　　有些新型路由器可以通过“记忆”出站UDP包来解决这个问题：如果入站UDP包匹配最近出站UDP包的目标地址和端口号就让它进来。如果在内存中找不到匹配的UDP包就只好拒绝它了！但是，我们如何确信产生数据包的外部主机就是内部客户机希望通信的服务器呢？如果黑客诈称DNS服务器的地址，那么他在理论上当然可以从附着DNS的UDP端口发起攻击。只要你允许DNS查询和反馈包进入网络这个问题就必然存在。办法是采用代理服务器。

　　所谓代理服务器，顾名思义就是代表你的网络和外界打交道的服务器。代理服务器不允许存在任何网络内外的直接连接。它本身就提供公共和专用的DNS、邮件服务器等多种功能。代理服务器重写数据包而不是简单地将其转发了事。给人的感觉就是网络内部的主机都站在了网络的边缘，但实际上他们都躲在代理的后面，露面的不过是代理这个假面具。
　　
[编辑本段]在安装和实用中的注意事项
　　[5]1. 防火墙实现了你的安全政策
　　
　　防火墙加强了一些安全策略。如果你没有在放置防火墙之前制定安全策略的话，那么现在就是制定的时候了。它可以不被写成书面形式，但是同样可以作为安全策略。如果你还没有明确关于安全策略应当做什么的话，安装防火墙就是你能做的最好的保
护你的站点的事情，并且要随时维护它也是很不容易的事情。要想有一个好的防火墙，你需要好的安全策略---写成书面的并且被大家所接受。
　　2. 一个防火墙在许多时候并不是一个单一的设备
　　除非在特别简单的案例中，防火墙很少是单一的设备，而是一组设备。就算你购买的是一个商用的“all-in-one”防火墙应用程序，你同样得配置其他机器（例如你的网络服务器）来与之一同运行。这些其他的机器被认为是防火墙的一部分，这包含了对这些机器的配置和管理方式，他们所信任的是什么，什么又将他们作为可信的等等。你不能简单的选择一个叫做“防火墙”的设备却期望其担负所有安全责任。
　　3. 防火墙并不是现成的随时获得的产品
　　选择防火墙更像买房子而不是选择去哪里度假。防火墙和房子很相似，你必须每天和它待在一起，你使用它的期限也不止一两个星期那么多。都需要维护否则都会崩溃掉。建设防火墙需要仔细的选择和配置一个解决方案来满足你的需求，然后不断的去维护它。需要做很多的决定，对一个站点是正确的解决方案往往对另外站点来说是错误的。
　　4. 防火墙并不会解决你所有的问题
　　并不要指望防火墙靠自身就能够给予你安全。防火墙保护你免受一类攻击的威胁，人们尝试从外部直接攻击内部。但是却不能防止从LAN内部的攻击，它甚至不能保护你免受所有那些它能检测到的攻击。
　　5. 使用默认的策略
　　正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。但是新的漏洞每天都出现，关闭不安全的服务意味着一场持续的战争。
　　6. 有条件的妥协，而不是轻易的
　　人们都喜欢做不安全的事情。如果你允许所有的请求的话，你的网络就会很不安全。如果你拒绝所有的请求的话，你的网络同样是不安全的，你不会知道不安全的东西隐藏在哪里。那些不能和你一同工作的人将会对你不利。你需要找到满足用户需求的方式，虽然这些方式会带来一定量的风险。
　　7. 使用分层手段
　　并在一个地点以来单一的设备。使用多个安全层来避免某个失误造成对你关心的问题的侵害。
　　8. 只安装你所需要的
　　防火墙机器不能像普通计算机那样安装厂商提供的全部软件分发。作为防火墙一部分的机器必须保持最小的安装。即使你认为有些东西是安全的也不要在你不需要的时候安装它。
　　9. 使用可以获得的所有资源
　　不要建立基于单一来源的信息的防火墙，特别是该资源不是来自厂商。有许多可以利用的资源：例如厂商信息，我们所编写的书，邮件组，和网站。
　　10. 只相信你能确定的
　　不要相信图形界面的手工和对话框或是厂商关于某些东西如何运行的声明，检测来确定应当拒绝的连接都拒绝了。检测来确定应当允许的连接都允许了。
　　11. 不断的重新评价决定
　　你五年前买的房子今天可能已经不适合你了。同样的，你一年以前所安装的防火墙对于你现在的情况已经不是最好的解决方案了。对于防火墙你应当经常性的评估你的决定并确认你仍然有合理的解决方案。更改你的防火墙，就像搬新家一样，需要明显的努力和仔细的计划。
　　12. 要对失败有心理准备
　　做好最坏的心理准备。防火墙不是万能的,对一些新出现的病毒和木马可能没有反映,要时常的更新.机器可能会停止运行，动机良好的用户可能会做错事情，有恶意动机的用户可能做坏的事情并成功的打败你。但是一定要明白当这些事情发生的时候这并不是一个完全的灾难。
　　2009年8月Matousec排行
　　（非TopTenReviews性价比排行，此排行主要测试项目为包含了主机入侵防御性能在内的反泄漏性能，不属于单纯的网络防火墙测试）
      ：ProductProduct scoreLevel reachedProtection levelRecommendationReport
       Online Armor Personal Firewall 3.5.0.1499%10+ExcellentGET IT NOW!
      　　
       Kaspersky Internet Security 2010 9.0.0.45996%10+ExcellentGET IT NOW!
      　　
       Comodo Internet Security 3.8.65951.47796%10+ExcellentGET IT NOW!
      　　
       Outpost Firewall Free 2009 6.5.2724.381.0687.32893%10+ExcellentGET IT
NOW!
      　　
       Outpost Security Suite Pro 2009 6.5.4.2525.381.068792%9ExcellentGET IT
      NOW!
      　　
       Online Armor Personal Firewall 3.5.0.14 Free92%10+ExcellentGET IT NOW!
      　　
       Jetico Personal Firewall 2.0.2.8.232789%10+Very goodN/A
      　　
       Malware Defender 2.2.289%10+Very goodGET IT NOW!
      　　
       Privatefirewall 6.0.20.1488%10+Very goodN/A
      　　
       PC Tools Firewall Plus 5.0.0.3686%10Very goodGET IT NOW!
      　　
       Netchina S3 2008 3.5.5.185%9Very goodN/A
      　　
       ZoneAlarm Pro 8.0.059.00072%9GoodNot recommended
      　　
       Lavasoft Personal Firewall 3.0.2293.882267%8GoodNot recommended
      　　
       Norton Internet Security 2009 16.2.0.766%8GoodNot recommended
      　　
       Webroot Desktop Firewall 5.8.0.2554%7PoorNot recommended
      　　
       Trend Micro Internet Security Pro 17.1.125029%5NoneNot recommended
      　　
       BitDefender Internet Security 2009 12.0.12.012%2NoneNot recommended
      　　
       ZoneAlarm Free Firewall 8.0.298.00011%2NoneNot recommended
      　　
       Avira Premium Security Suite 9.0.0.36710%2NoneNot recommended
      　　
       CA Internet Security Suite Plus 2009 5.0.0.5815%1NoneNot recommended
      　　
       Kingsoft Internet Security 9 Plus 2009.07.17.105%1NoneNot recommended
      　　
       Rising Internet Security 2009 21.41.215%1NoneNot recommended
      　　
       Sunbelt Personal Firewall 4.6.1861.05%1NoneNot recommended
      　　
       ThreatFire Free 4.1.0.255%1NoneNot recommended
      　　
       eConceal Pro for Windows 2.0.019.14%1NoneNot recommended
      　　
       ESET Smart Security 4.0.417.04%1NoneNot recommended
      　　
       FortiClient End Point Security 4.0.2.574%1NoneNot recommended
      　　
       Panda Internet Security 2010 15.00.004%1NoneNot recommended
      　　
       Windows Live OneCare 2.5.2900.244%1NoneNot recommended
      　　
       Mamutu 1.7.0.232%1NoneNot recommended
      　　
       Norman Security Suite 7.102%1NoneNot recommended
      　　

[编辑本段]电影《防火墙》
　　《防火墙》：哈里森-福特重出江湖
　　Firewall
　　片名：Firewall
　　译名：防火墙/错误元素
　　导演：理查德·朗克莱恩Richard Loncraine
　　主演：哈里森·福特Harrison Ford
　　弗吉尼亚·玛得森Virginia Madsen
　　吉米·本内特Jimmy Bennett
　　保罗·贝坦尼Paul Bettany
　　类型：动作/剧情/犯罪/惊悚
　　地区： 美国
　　语言： 英语
　　颜色： 彩色
　　片长：105分钟
　　级别：PG-13(令人紧张的暴力内容)
　　出品：华纳兄弟
　　上映日期：2006年2月10日(美国) 2006年4月11日(中国内地)
　　官方网站：firewallmovie.warnerbros.com
　　IMDB评分：6.1/10 (564 votes)
　　推荐指数：★★★☆
　　剧情简介
　　日益猖獗的计算机黑客经常会在计算机网络上想方设法盗取银行的资产。然而，当今一种专门从事阻止黑客侵入银行计算机系统的防护系统也正在和网络上的这种违法行为进行着斗争。计算机安全专家杰克·斯坦福(哈里森·福特)便是从事这一行业的人。他如今供职于美国西部西雅图市一家国际金融机构太平洋银行。杰克·斯坦福是一名备受股东们信赖的高级网络安全主管，多年来负责设计最有效的防盗计算机系统和各种“防火墙”式的软件。然而，杰克的防盗系统却有一个致命弱点，那就是他自己。因为，防火墙的密码就由他来保管。这一点，似乎包括对银行里的现金垂涎已久的罪犯们也心知肚明……
　　身份非同一般的杰克，在公司的地位和待遇都相当的优厚。这也让他和他那身为建筑师的妻子贝丝·斯坦福(维吉尼亚·马德森)以及他们的一双儿女过着优裕的生活，包括一栋位于市郊高级住宅区的豪宅。但，幸福的生活终于被邪恶的贪心贼给打破了，这名凶狠的歹徒决定利用这一家人的性命以及杰克脑中的防火墙密码来满足自己瞬间发财的欲望。因此，好几个月来，比尔·考克斯(保罗·贝坦尼)一直在仔细观察杰克和他的家人的日常生活规律，并利用各种先进的电子设备，监控他们上网的活动，窃听他们的私人电话，熟知他们的日常作息，并窃取他们最隐私的资料等等。比尔·考克斯甚至了解到他们小孩的朋友的名字，以及他们的病史，更知道了他们居住的社区安保系统的密码。他花了将近一年的时间以完全掌控杰克一家人的每一个生活细节，现在终于到了可以行动的时间。比尔率领几个手下凶残地闯入杰克的豪宅，把贝丝和她的孩子们软禁在自己的家里。然后，勒令杰克帮助他们在网上安全地通过太平洋银行防火墙的保护窃取一亿美元的巨款……

　　演员阵容
　　在豪宅中休息了两年的哈里森·福特如今却重出江湖，不知是影迷们的一大幸事还是影坛的悲哀。很多人都怀疑，如此老迈的胳膊腿能否在动作戏中再次带给人们当年的精彩？想必印第安纳·琼斯的魅力已经一去不复返了。事实上，就在几年前，老福特已经显现出无法遮掩的老迈来了。《六天七夜》的差强人意，《疑云重重》的不知所谓，《K-19》也可谓一片混乱，一系列影片都在票房的争夺战中败下阵来。但经验老道的哈里森·福特适时地选择了休息，让人们在视觉疲劳时同样地有了很好的休息。如今，两年后尚不服老的福特再次披挂上阵也说明了他已经有了充分的准备。其实，哈里森·福特此番出山也颇为谨慎。为了使剧情看点足具，哈里森·福特不仅费心请来英伦演员保罗·贝坦尼扮演凶残绑匪，与自己共演一出智力与体力的双重对决，还亲自出马甄选片中自己老婆的人选，甚至对影片制作团队中较为低等的工作人员都做了百般挑选。
　　明眼的人都能看到，2005年，好莱坞电影的颓势也伴随着多位老明星再次“就范”的局面而产生。不知是冥冥中有何种联系，还是电影的必然规律所致。06年更是有老史泰龙精神抖擞地重上拳台，再次将老洛奇的故事展现示人……
[编辑本段]幕后制作
　　【关于导演】
　　现年60岁的英国著名导演理查德·隆克瑞恩在电影、电视及商业广告领域一直享有极高赞誉。早年他曾在中央艺术学校学习雕刻，随后进入英国皇家电影艺术学院，毕业后在BBC工作了3年。他的真正成功始于1977年，他开始导演生涯的第二部电影《Full
Circle》就在阿渥里亚兹奇幻电影节上赢得大奖。5年后，他执导的《硫磺石与蜜糖》在蒙特利尔电影节上获得美洲大奖。1995年，由他自编自导的《理查德三世》成为当年的热门之作，不仅获英国电影电视艺术学院的两个奖项，还在柏林国际电影节问鼎银熊奖。隆克瑞恩近年的佳作包括艾美奖剧集《兄弟连》，以及被艾美奖和美国导演协会奖提名的电视电影《风云汇聚》和《安布里亚之家》等。
　　【构思细节】
　　网络危机：在电脑网络高速发展的今天，大多数银行的财产都不再藏在钢筋水泥的金库里，而是储存于网络空间中了，据电脑安全专家称，银行里拥有的现金和在电脑中的金额相比可谓微不足道，一般来说不超过1%。所以如果99%都在电脑里，对于拥有数以亿计资产的银行来说，那些电脑就会成为黑客们的目标。在影片开拍前，剧组曾对银行业进行调研，发现网络银行的安全保障是每天24小时都不能松懈的工作，有成批的专家在时刻防备网络窃贼趁虚而入。由此，影片中出现的一些技术性的台词和程序为故事增加了可信度。
　　黑色基调：导演在影片中尽量营造一种“黑******”的基调，并保持影片的紧凑感。“我觉得这个片子说不上是经典的黑******。因为没有人抽烟。”隆克瑞恩开玩笑说。“但是在风格上确实有一些阴暗的镜头。”影片最大的挑战之一就是要在司空见惯的家庭场景注入危机感。这些场景不是神秘阴暗的走廊，而是日常生活中所熟悉的温暖明亮的地方。
　　在影片开头，画面通过隐藏在室外树叶中的监视器展现斯坦菲尔德一家的日常生活。“我们是用DV拍的这些镜头，就是8×8大小的画面，看起来就像出自非专业人士之手。事实上，我们还尽量拍的烂一些，”隆克瑞恩解释说，“没人编排过这些镜头。我就想要那种抖动、模糊不清还有聚焦不准的画面。”为了达到真实自然的效果，导演在很多镜头中都采取了真正的罪犯可能会采取的监视****的设备和方式，并且不告诉演员们摄影师的位置。
　　此外，导演还给影片增加了自己的黑色幽默，比如说把斯坦菲尔德家里的电视节目作为背景声音，时不时插入无聊搞笑的广告片、卡通片或烹调节目的声音作为背景，给这被囚禁的一家增添了很多戏剧性的时刻，日常生活的场景也就变得危险恐怖。
　　【造雨】
　　为了在影片的加拿大拍摄地制造出西雅图多雨的天气特点，特效负责人打算在6周内使用28万加仑的水，其中14万加仑只是单独在斯坦菲尔德一家的场景里。当然，还要保护好这幢坐落在莱恩斯湾的独一无二的防水房，这工作并不容易，因为在屋顶有20到30个降雨机，周围的树上也藏了很多降雨器。
　　在杰克·斯坦菲尔德的办公室所处的城区镜头中，需要一个由数架80吨重的起重机支持的“降雨器”系统才能覆盖一片城区，因为导演在本片中习惯用雨景来营造影片气氛，有时候是小雨有时候是大雨。尽管从用水量来看十分惊人，但点睛之笔通常用恰到好处的小雨滴就能完成。

  参考资料：
    网络掉线　用杀毒软件还是防火墙 
    防火墙分类以及作用概述 
    winxp防火墙所导致的系统故障 
    安装网络防火墙的十二个注意事项 
    当前最优秀的防火墙横向对比 
    http://www.jc315.com/pd.CatalogAction.do?method=LoadCataBaseInfo&cata_id=400366&channel_=1908&forward=guide
    
  扩展阅读：
  1.http://www.matousec.com/projects/proactive-security-challenge/results.php
  2.http://zh.wikipedia.org/zh-cn/%E9%98%B2%E7%81%AB%E5%A2%99
  开放分类：
  网络，电脑，电影，防火墙

[我来完善]
  “防火墙”相关词条：
  更多
  木马入侵检测金山网镖Comodo Firewall Pro V3广告软件恶意软件流氓软件计算机病毒
  杀毒软件身份认证隔离卡交换机虚拟机策略路由网络设备网络交换机物理隔离数码传真机无线接入点路由器端口镜像台式机包过滤安全漏洞安全策略nat虚拟专用网网络加密负载平衡网络安全远程访问路由信息加密技术入侵检测系统虚拟专网客户机宽带路由器虚拟服务器高速缓冲存储器IDS三层交换机访问控制负载均衡器负载均衡远程控制内网安全无线局域网漏洞扫描非对称加密NAS文件服务器网络存储安铁诺防病毒软件安全网关网闸内容过滤代理服务器端口映射IDP操作系统网关网络服务器安全协议服务器电子邮件服务器组策略静默木马病毒网络管理