提到防火墻，大家都知道與安全有關，最近我們經常接到客戶電話咨詢防火墻的相關問題，接下來夢飛科技小編帶你深入的了解防火墻，讓你對防火墻有一個清晰的認知。 防火墻的作用是保護本地系統或網絡系統免受基于網絡的安全威脅的有效手段，美國站群服務器 亞洲服務器，同時可以通過廣域網和因特網提供對外界網絡的訪問。 防火墻的名稱來源于一種常見的建筑實踐，即將磚墻放置在兩個結構之間，以防止一個火災蔓延到另一個結構。這是一種安全防火墻的有效方法：它提供了一個屏障來控制進出組織的互聯網連接網絡，或者可能在內部網絡的不同段之間的網絡流量。 防火墻可以采取多種形式，從專用設備，到運行在通用服務器上的軟件，或作為多功能安全設備的一部分。通常防火墻有兩個網絡接口：一個用于網絡的外部，一個用于內部。其目的是控制允許從一個側面通行到另一個的交通。 作為最基本的級別，防火墻可以阻止針對特定IP地址或服務器端口的流量。通常，公司設置防火墻允許傳入連接到端口80，端口是Web服務器使用的標準端口。例如，這允許訪問者訪問一個CopPress網站，但不允許訪問其他端口的“不可信”流量。不信任意味著交通的起源是未知的。具有適當憑證的公司雇員，例如用戶名和密碼，將允許通過安全連接（通常是虛擬專用網絡）訪問。 來自網絡內部可信的流量將被允許穿越防火墻并連接到互聯網，允許用戶使用諸如電子郵件和FTP之類的服務。 當配置正確時，防火墻還提供對包括拒絕服務（DoS）攻擊在內的威脅的保護。DoS攻擊發生時，入侵者試圖阻塞一個公司網站與大量的流量，因此，它使Web服務器下降，并可能允許入侵者闖入。入侵者可能通過Web服務器能夠訪問其他網絡資源。 更復雜的防火墻支持“狀態檢查”技術，其中防火墻查看流量中的模式，以識別出現某種形式攻擊的異常，例如DoS攻擊或欺騙攻擊，其中入侵者試圖偽裝成可信資源。 防火墻提供四種類型的控制： 服務控制：確定可訪問的因特網服務的類型、入站（正在進入網絡內的分組）或出站（網絡之外的分組）。 例如：在許多公司中，如果使用公司的WiFi網絡，QQ和外部應用等服務是不可訪問的，因為防火墻正在檢查出站網絡（這可能因公司而異）。 方向控制：確定特定服務請求可以被啟動并允許通過防火墻流動的方向。 用戶控制：根據用戶試圖訪問的服務來控制對該服務的訪問。該功能通常應用于防火墻周界（本地用戶）內的用戶，也可應用于來自外部用戶的傳入流量。 例如：許多公司根據雇員或某個部門的位置，制定了網頁內容過濾的內置策略。經理可能有權訪問QuoRA，但一個實習生可能不具備同樣的能力。 行為控制：控制特定服務的使用方式。例如，防火墻可以過濾電子郵件以消除垃圾郵件，或者它可以對本地Web服務器上的部分信息進行外部訪問。 根據國家標準與技術研究所（NIST）800—10防火墻可分為三種類型： 過濾 狀態檢查 代理 注意：這三類防火墻可能是互斥的，也可能不是互斥的。在現實世界場景中，我們使用防火墻時都是混合使用。 一、包過濾防火墻 在包過濾防火墻中，每一個包（傳入或傳出）在轉發之前被與特定的規則集（如管理員定義的）相比較。 如果數據包似乎遵循規則/標準，則轉發數據包，如果數據包不存在，則數據包被丟棄。 規則可以包括： 源IP地址或目的IP地址 源端口和目的端口 允許的協議或服務 這些規則在公司和公司之間是不同的，沒有固定的標準或理想的模式。 包過濾防火墻通常受到攻擊，它利用TCP IP規范中的漏洞。 例如：如果入侵者欺騙源IP地址，大多數包層防火墻無法檢測到它。包層防火墻無法檢查數據包頭是否被欺騙，此后許多攻擊者使用繞過組織的安全性。因此，許多防火墻維護通過防火墻遍歷的每個數據包的狀態信息。 二、狀態檢查 它是一種包過濾防火墻，具有維護連接狀態（對于每個分組）和阻止偏離其理想狀態的分組的附加功能。 TCP業務存在三種主要狀態 1.連接建立 2.用法 3.終止 例如，攻擊者可以生成一個報頭，該報頭指示它是已建立的連接的一部分（假設攻擊者欺騙了內部連接的IP），希望它會通過防火墻。如果防火墻使用狀態檢查，美國站群服務器 亞洲服務器，它將首先驗證包是狀態表中列出的已建立連接的一部分。 如果它已經是已建立連接的一部分，意味著有人試圖獲得未經授權的訪問，并且包將被丟棄。 三、應用級代理 這些防火墻包含代理，它們充當兩個希望相互通信的主機之間的中介，并且從不允許它們之間的直接連接。每個成功的連接嘗試實際上導致在客戶端和代理服務器之間創建兩個單獨的連接，另一個在代理服務器和真實目的地之間創建連接。