防火墙技术的基础知识（概念_类型_作用及设置）

防火墙技术的概念

防火墙指的是由硬件设备与软件系统共同构成的，位于外网与内网之间、公共网与专用网之间的保护屏障。简而言之，防火墙技术就是保护计算机安全的技术。计算机防火墙技术的应用原理是在计算机网络边界上设置与网络系统相适应的通信监控系统，将内网与外网隔离开，防止外网不利信息侵入内网。一般情况下，防火墙包括计算机防火墙与网络防火墙，其中计算机防火墙就是在计算机外网与计算机之间建立防火墙，属于用户计算机的一部分。计算机防火墙能够对计算机接口规程、传输协议以及被传输的信息结构等进行检测，及时剔除不合规定的信息。而网络防火墙主要是在计算机外网与内网之间设置的防火墙，也可以被称为筛选路由器。网络防火墙对进入计算机网络的信息协议、端口与被传输的信息形式、目的地址等进行检测，可以有效排除不合规定的外部信息。

防火墙技术类型与特点

包过滤型

这种类型的防火墙可在OSI（开放系统互联）的网络层与数据传输层中运行，其能够按照相关标志确定是否允许数据包通过，如端口号、网络通信协议类型以及目的地址等。所有数据包必须满足防火墙的过滤条件，才能被送达指定的目的地址当中，无法满足条件的数据包，则会被防火墙自行过滤掉。包过滤型防火墙的结构如图所示。

在各种类型的防火墙当中，包过滤型是通用性最强、性价比最高且较为有效的一种网络安全措施。这种类型的防火墙在所有的网络服务中全部适用，并且绝大部分的路由均具有过滤功能，可在一定程度上满足网络用户的安全需要。包过滤型防火墙的应用优势非常明显，即不需要对任何应用程序进行改动。需要注意的是，在对此类防火墙进行应用时，由于部分过滤器中过滤规则的数目是有限的，如果数目超过限制，则会导致过滤器的性能下降，这样可能会导致一些信息无法被滤除，从而增大了网络安全隐患。所以，可将包过滤型防火墙与网关进行联合使用，构成防火墙系统，由此可对计算机网络进行有效地保护，这种防火墙技术方案在很多企事业单位中被广泛应用，效果较好。

代理服务型

这种类型的防火墙可在OSI的应用层中运行，应用层作为OSI的最高层，其安全性非常重要。代理服务型防火墙能够对网络通信流进行完全阻隔，借助专门的代理程序，可对应用层通信流进行监视和控制，进而达到确保网络安全的目的。

应用网关：在计算机网络中，应用网关是代理服务型防火墙较为常见的一种形式，其能够借助代理技术参与传输控制协议的连接。从内网中发出的数据包经应用网关处理后，可对内网的结构进行隐藏。一些网络专家认为，应用网关是安全性较高的防火墙，代理服务器是它的核心。

自适应代理：随着代理服务型防火墙的不断改进和完善，自适应代理随之出现，并成为一种新型的防火墙，其除了安全性较高之外，还具有较快的速度，在保证安全性的同时，可以大幅度提升代理服务型防火墙的整体性能。动态包过滤和具备自适应能力的代理服务器是自适应代理防火墙的主要组成部分，在这两个部分之间有同一个控制通道，配置防火墙的过程中，用户可按照自己的实际需求进行设置，如所需的服，务类型、安全级别等。由于该防火墙采用的是代理机制，从而使内网与外网不能直接进行通信，必须通过代理审核，所以可防止黑客对内网的非法入侵。

屏蔽主机型

这种类型的防火墙最为突出的特点是能够对主机进行屏蔽，可在接入互联网的位置处设置具有包过滤功能的主机，以此作为网关，并在其附近设置代理服务器，借助代理功能将服务发给内网的主机。由于存在危险的协议基本都会被网关过滤掉，所以不会对内网的安全造成威胁，这是一种安全控制较为有效的途径。在具体应用时需要注意的是，应当使更多的协议能通过代理服务器进行代理，以便消除协议中潜在的安全漏洞，进而使防火墙的安全性随之提升。

防火墙技术的作用

作用一：有助于提升网络的安全性

在计算机网络中，通过对防火墙技术的合理运用，能够使网络安全获得进一步提升。设置了防火墙的计算机网络，可以对各种不安全的信息进行过滤，由此使得网络环境本身的安全性得到保障。同时借助防火墙可以构建NFS（网络数据信息系统），该系统能够为网络的运行提供保护，可阻止非法用户对内网的攻击，从而使内网的安全性获得显着提升。

作用二：能够对访问对象进行监控

在计算机网络中设置防火墙后，所有对主机的访问全都需要通过防火墙的审查，据此判断访问对象是否合法。如果防火墙发现访问对象存在问题，则会发出报警提示，对非法用户的IP地址进行显示，并将这些访问阻拦在网络之外，避免了网络安全问题的发生。可见，通过防火墙的监控，可以达到防患于未然的目的。

作用三：可有效避免重要信息外泄

计算机网络是一个规模非常庞大、结构较为复杂的系统，在整个网络当中，存在着诸多重要的网段，通过防火墙技术的运用，可以将这些网段进行有效隔离，由此能够限制内网人员对其中的重要信息进行访问。很多网络黑客会利用各种手段对内网进行攻击，试图以此来获取内网的数据信息，而防火墙能使这些恶意攻击全部失效，避免了网络信息外泄给用户带来的损失。

电脑防火墙怎么设置？

如何保证电脑上网安全，避免遭遇不必要的风险，是其不得不考虑的问题。除了使用各种安全工具保护电脑安全外，其实还使用系统内置的防火墙，无须进行复杂的配置，就可以让电脑安全地连接外部网络。这里就使用具体的实例，来说明实现的方法。

将恶意网站拒之门外

在上网浏览时，经常有一些恶意或者自己不喜欢的页面不请自来。为了避免骚扰，可以利用防火墙规则将其拒之门外。例如，不管是电信宽带，还是联通宽带，运行商都会自作聪明地配置错误网页提示功能。当您访问并不存在网址时，会自动被定向到ISP默认的错误页面中。例如对于某型宽带来说，当访问错误网址时，会进入某个特定错误处理网页，其中还会夹杂着广告，让人不胜其烦。

在CMD窗口中利用Ping命令对“xxxxxxxxxxx.xx.com.cn”网址进行探测（X代表具体网址），得到其真实的IP地址，例如“218.xx.xxx.xx”。在Windows防火墙管理窗口左侧点击“高级设置”项，在高级安全Windows防火墙窗口左侧点击“入站规则”项，在窗口右侧的“操作”栏中点击“新建规则”项，在规则创建向导界面中选择“自定义”项，在下一步窗口左侧点击“作用域”项，在窗口右侧的“此规则应用于哪些本地IP地址”栏中选择“任何IP地址”项。在“此规则应用于哪些远程IP地址”栏中选择“下列IP地址”项，点击“添加”按钮，在弹出窗口（上图）中选择“此IP地址或子网”项，输入上述IP地址。在下一步窗口中选择“阻止连接”项，点击左侧的“配置文件”项，在右侧选择所有项目，包括域、专用、公用等。在下一步窗口中为本规则设置名称，输入描述信息。点击“完成”按钮，完成本规则创建操作。这样，当系统试图访问禁用的IP后，就会遭到防火墙的拦截，进而避开错误网页的骚扰。当然，按照这种方法，可以限制针对任何IP或者IP地址群的访问，灵活的避开各种恶意网页的侵袭。

拦截非法网络连接

Windows防火墙不仅可以拦截对特定网站的访问，还可以封锁任意程序的上网通道，让其无法连接外部网络。例如当您发现木马潜入本机，而杀毒软件并没有对其清除，那么该木马程序很可能经过了免杀处理。为了防止其非法连接外部主机，泄露本机数据，最直接的方法就是切断其连接的网络通道。比如您发现名称为“xxx.exe”的程序藏身到系统目录中，非法打开了后门，试图和远方的黑客建立联系，就可以按照上述方法，建立一条安全规则。

注意应该选择“出站规则”项。在规则创建窗口中选择“自定义”项，在窗口左侧选择“程序”项，在右侧窗口中选择“此程序路径”项，点击“浏览”按钮，选择该木马程序，例如“c：＼windows＼system32＼xxx.exe”。在下一步窗口左侧点击“操作”项，在右侧窗口选择“阻止连接”项。按照上述方法，选择所有作用域对象。接着输入该规则名称和描述信息，完成该规则的创建操作。这样，该木马程序就无法连接外部网络了。当然，您可以灵活地使用上述方法，对任何程序进行限制，防止其和外界建立网络通道。

完全掌控电脑联网权限

在高级安全Windows防火墙窗口右侧打开“本地计算机上的高级安全Windows防火墙”项，在其下点击“属性”项，在弹出窗口（上图）中的“域配置文件”面板中的“防火墙状态”列表中选择“启用（推荐）”项，在“入站连接”列表中选择“阻止所有连接”项，在“出站连接”列表中选择“阻止”项，之后点击确定按钮，就可以切断进出本机的所有连接，将本机彻底和外界隔离开来。顺带说一句，在这种情况下，即使病毒或者木马潜入系统，也无法和Internet建立任何连接，接下来您就可以使用安全工具围捕病毒了。当然，为了仅仅让指定的程序连接网络，我们必须在此基础上对System和DNS两大系统对象开放网络连接才行。

按照上述方法，在“出站规则”模块中新建一个新规则，在规则创建向导窗口中选择“程序”项，在下一步窗口中选择“此程序路径”项，在其下直接输入“System”，在下一步窗口中选择“允许连接”项，之后输入该规则名称和描述信息，完成规则创建操作。

提起DNS，大家都不会陌生，利用DNS域名解析功能，可以轻松完成域名和IP的转换，加快网络访问速度。因为DNS是网络访问的基石，所以应该放行DNS服务。可以按照上述方法，在“出站规则”模块中新建一个新规则，在规则创建向导窗口中选择“自定义”项，在下一步窗口中选择“此程序路径”项，在其下点击“浏览”按钮，选择“C：＼Windows＼System32＼Svchost.exe”程序。在下一步窗口中的“协议类型”列表中选择“UDP”项，在“本地端口”列表中选择“特定端口”项，在其下输入“1024～65536”。表示允许其使用本地端口的范围为1024～65536。在“远程端口”列表中选择“特定端口”项，在其下输入端口号53。依次点击下一步按钮，配置均采用默认设置。注意，在“配置文件”窗口中可以根据实际需要，选择公用或者专用类型。输入规则名称和描述信息，来创建该规则。

完成以上操作后，电脑就不再处于网络孤岛状态，具有了最基本的网络连接能力。接下来就可以为特定的程序开放网络连接特权了。这里以开放IE浏览器网络访问特权为例，介绍具体的实现方法。按照上述方法，在“出站规则”模块中创建一条新规则，在向导界面中选择“自定义”项，在下一步窗口（图3）中选择“此路径程序”项，点击“浏览”按钮，选择IE主程序路径，例如“C：＼Program？Files＼InternetExplorer＼iexplorer.exe”。

在下一步窗口中的“协议类型”列表中选择“TCP”项，在“本地端口”列表中选择“特定端口”项，在其下输入“1024～65536”。在“远程端口”列表中选择“特定端口”项，在其下输入端口号53。这表示允许IE使用本机的TCP端口（范围为1024～65536）访问任意目标主机的80端口，实现正常的网页浏览操作。依次点击“下一步”按钮，使用默认的配置参数即可。在“配置文件”窗口中可以根据实际需要，选择公用或者专用类型，之后输入本规则的名称和描述信息，完成规则创建操作。使用了该规则后，IE就可以自动访问网络了。当然，您可以根据实际需要，有选择地开放所需程序的网络访问权限，创建相应规则的方法与上述完全相同。