防火墻是一種基于硬件或軟件的網絡安全系統，它使用規則來控制傳入和傳出的網絡流量。防火墻充當受信任網絡和不受信任網絡之間的屏障。防火墻通過積極的控制模型控制對網絡資源的訪問。這意味著防火墻策略中定義了唯一允許進入網絡的流量；所有其他流量都被拒絕。

防火墻的歷史

計算機安全從消防和防火借用術語防火墻，其中防火墻是為防止火勢蔓延而建立的屏障。當組織開始從大型計算機和啞客戶端轉向客戶端-服務器模型時，控制對服務器的訪問的能力成為優先事項。在 1980 年代后期出現防火墻之前，唯一真正的網絡安全形式是由駐留在路由器上的訪問控制列表 (ACL) 執行的。ACL 確定哪些 IP 地址被授予或拒絕訪問網絡。

Internet 的發展以及由此產生的網絡連接性的增加意味著這種類型的過濾不再足以阻止惡意流量，因為數據包標頭中只包含有關網絡流量的基本信息。Digital Equipment Corp. 推出了第一款商用防火墻（1992 年的 DEC SEAL），此后防火墻技術不斷發展以應對日益復雜的網絡攻擊。

防火墻的主要類型

防火墻是除防病毒軟件等其他安全措施之外的額外屏障。但是，硬件和軟件防火墻系統的工作方式略有不同。

硬件防火墻

硬件防火墻是獨立于它們所保護的計算機的系統，它在信息傳入計算機時過濾 Internet。大多數寬帶互聯網路由器都內置了自己的防火墻。通常，硬件防火墻的工作原理是檢查從 Internet 流入的數據并驗證該信息是否安全。簡單的防火墻（稱為數據包過濾器）會檢查數據本身以獲取諸如位置和來源之類的信息。然后將防火墻收集的信息與一組權限列表進行比較，以確定是否應該刪除或允許該信息通過。隨著硬件防火墻變得更加先進，它們獲得了檢查更多信息的能力。

這些類型的防火墻對家庭和小型企業都有好處，因為它們幾乎不需要設置，并且可以保護多個節點（計算機）免于修補到同一路由器。然而，典型家用硬件防火墻的主要缺點是它們只檢查進入計算機的數據，而不檢查離開計算機的數據。有人可能會問：“這不是重點嗎？” 在某種程度上，是的。但通常，惡意軟件是偽裝成特洛伊木馬程序通過 Internet 發送的。數據的“包裝”似乎來自可靠的來源，但嵌入編碼中的可能是破壞性軟件。此外，某些攻擊可能會導致目標計算機變成僵尸或計算機機器人，然后開始大規模廣播數據。由于硬件防火墻不檢測傳出信息，因此不會考慮流量或其內容的增加。

軟件防火墻

與硬件防火墻相比，軟件防火墻有兩個主要優點。首先是軟件防火墻可以監控傳出數據流量。這不僅可以防止計算機變成機器人或僵尸，還可以防止計算機傳播任何其他惡意軟件，例如蠕蟲或計算機病毒。另一個優點是軟件防火墻是可定制的?？梢哉{整這些程序以滿足用戶的需求，例如在他們在線游戲或觀看在線視頻時是否需要放寬權限。但是，軟件防火墻的主要缺點是它們只能保護一臺計算機。每臺計算機都必須有自己的許可防火墻產品。另一方面，硬件防火墻可以保護連接到它的每臺計算機。

額外保護

同時使用軟件和硬件防火墻并不是一個壞主意。它們不僅不會相互干擾，而且還會提供保護計算機的層數。此外，軟件防火墻旨在與防病毒軟件結合使用。這是因為防火墻只能阻止這么多。雖然防火墻可以阻止已知威脅，但任何突破物理障礙的隱蔽嘗試仍然可以通過。在社會工程攻擊中尤其如此，在這種攻擊中，計算機用戶被誘騙將惡意軟件帶入計算機。這就是使用防病毒軟件作為備份的地方，因為它可以阻止或清除任何通過第一層安全保護的惡意軟件。

此外，使所有計算機軟件（尤其是操作系統軟件）保持最新狀態將有助于保護計算機免受已知威脅的侵害。這也有助于防火墻阻止侵入式攻擊。對于計算機的所有用戶來說，了解他們可以預防哪些威脅也是有益的，尤其是那些可以通過防火墻的威脅。通過不點擊即時消息中的鏈接，也不打開連鎖電子郵件中的附件，這有助于防止突然襲擊。所有這些方法結合起來可以幫助保護計算機并保持其安全和清潔。