大家有經(jīng)歷過在電腦上安裝好某個(gè)軟件后打不開，然后就會(huì)彈出連接失敗，請(qǐng)檢查您的網(wǎng)絡(luò)防火墻。沒錯(cuò)，這就是我們所說的服務(wù)器防火墻。服務(wù)器防火墻，這個(gè)相信大家都不陌生吧。防 火 墻( Firewall ) 是 一 個(gè) 定 位 用 來 分 隔 兩 個(gè) 不 同 網(wǎng) 路 的 網(wǎng) 路 安 全 裝 置 ， 通 常 是 介 于 企 業(yè) 機(jī) 構(gòu) 的 內(nèi) 部 、 受 信 任 的 網(wǎng) 路 和 互 聯(lián) 網(wǎng)。它 是 由 SunMicrosystems 和 CheckPoint Software Technologies 分 別 研 製 的 一 種 網(wǎng) 路 安 全 保 護(hù) 系 統(tǒng) 。服務(wù)器防火墻解決方案也是如此，除了高防IP秒解服務(wù)器，它也保護(hù)的是我們的服務(wù)器。

服務(wù)器防火墻的主要功能有哪些呢?

1.首先是檢測(cè)，它可以將我們電腦中不符合安全要求的分組剔除;

2.防御能力，防火墻都有抵御外來攻擊的作用，從原理上來講：它可以說是一個(gè)數(shù)據(jù)分析器、數(shù)據(jù)分離器、數(shù)據(jù)限制器、它能夠監(jiān)控我們的電腦的一舉一動(dòng)，保證我們的電腦內(nèi)部網(wǎng)絡(luò)安全是它的責(zé)任。

防火墻分布，防 火 墻 是 如 何 運(yùn) 作 的：以 歷 史 的 觀 點(diǎn) 而 言 ， 有 3 種 不同 的 技 術(shù) 被 使 用 來 作 為 防 火 墻 ：

封 包 過 濾 ( Packet Filters ) 、 應(yīng) 用 層 閘 道 ( Application-Layer Gateways ) 和 狀 態(tài) 檢 視 ( Stateful Inspection ) 。

阻 斷 式 服 務(wù) 攻 擊(DoS / Denial of Service)在我們的電腦上裝上一個(gè)防火墻，能在很大程度上提高我們的內(nèi)部網(wǎng)絡(luò)安全性，如果有一些不安全的nfs協(xié)議進(jìn)入我們的內(nèi)部網(wǎng)絡(luò)，防火墻就會(huì)開啟保護(hù)模式，并將該信息剔除我們的網(wǎng)絡(luò)。在開啟使用防火墻的時(shí)候，我們可以通過防火墻安全方案配制將我們的口令、身份信息、密碼等輸入到我們的防火墻上。它有著更加安全更加經(jīng)濟(jì)的優(yōu)點(diǎn)。

還有，防火墻的類型也是不一樣的，我們平時(shí)所用的防火墻是普通版的，只能抵御一些小的沖擊。想大型公司、集團(tuán)、銀行、國(guó)家機(jī)密機(jī)構(gòu)等所用的防火墻都是加強(qiáng)版的，基本上再大的網(wǎng)絡(luò)襲擊都可以抵御。

防火墻技術(shù)是最早發(fā)展的安全技術(shù)，也是應(yīng)用最普遍的安全技術(shù)，隨著互聯(lián)網(wǎng)的爆炸式發(fā)展，企業(yè)對(duì)互聯(lián)網(wǎng)的應(yīng)用日益依賴，安全的問題就變得越來越來重要。防火墻的作用，可以用一句話來概括：允許符合企業(yè)安全策略的數(shù)據(jù)包進(jìn)入或出去。

防火墻技術(shù)發(fā)展到現(xiàn)在，按照發(fā)展的不同階段，主要有如下幾種：

種類實(shí)現(xiàn)技術(shù)

包過濾防火墻工作在網(wǎng)絡(luò)層，提供基于地址(源地址和目的地址)、協(xié)議、端口(源端口和目的端口)的訪問控制。應(yīng)用代理防火墻工作在應(yīng)用層，提供基于應(yīng)用級(jí)的訪問控制，有能力實(shí)現(xiàn)對(duì)數(shù)據(jù)包進(jìn)行詳細(xì)的檢測(cè)，能夠在服務(wù)器和客戶端之間充當(dāng)網(wǎng)關(guān)，對(duì)企業(yè)的網(wǎng)絡(luò)系統(tǒng)提供更高的安全保護(hù)和嚴(yán)格訪問控制。

狀態(tài)檢測(cè)防火墻工作在數(shù)據(jù)鏈路層和網(wǎng)絡(luò)層之間，能夠監(jiān)控七層的通信狀態(tài)信息，動(dòng)態(tài)建立連接表，跟蹤和控制通過防火墻的數(shù)據(jù)流，特別是對(duì)于無連接協(xié)議(如 UDP)和需要?jiǎng)討B(tài)開放端口的程序(如 FTP)，能夠提供更加安全的保護(hù)、控制。

防火墻解決方案的分類

根據(jù)防范方式和側(cè)重點(diǎn)的不同，防火墻技術(shù)分為多種類型，有些以軟件形式運(yùn)行在普通計(jì)算機(jī)上，有些以固件形式設(shè)計(jì)在路由器中。總的來說，防火墻可以分為以下三種。

1.包過濾防火墻

包過濾防火墻在tcp/ip四層架構(gòu)下的ip層中運(yùn)作。它檢查通過的ip數(shù)據(jù)封包，并進(jìn)一步處理。主要的處理方式有:放行(accept)、丟棄(drop)或拒絕(reject)，以達(dá)到保護(hù)自身網(wǎng)絡(luò)的目的。

包過濾技術(shù)在網(wǎng)絡(luò)層中對(duì)數(shù)據(jù)包進(jìn)行有選擇的處理。它根據(jù)系統(tǒng)內(nèi)預(yù)先設(shè)定的過濾規(guī)則，對(duì)數(shù)據(jù)流中每個(gè)數(shù)據(jù)包進(jìn)行檢查后，根據(jù)數(shù)據(jù)包的源地址、目的地址、tcp/udp源端口號(hào)、tcp/udp目的端口號(hào)以及數(shù)據(jù)包頭中的各種標(biāo)志位等信息來確定是否允許數(shù)據(jù)包通過。

包過濾防火墻的應(yīng)用主要有三類：一是路由設(shè)備在進(jìn)行路由選擇和數(shù)據(jù)轉(zhuǎn)發(fā)的同時(shí)進(jìn)行包過濾;二是在工作站上使用專門的軟件進(jìn)行包過濾;三是在一種稱為屏蔽路由器的路由設(shè)備上啟動(dòng)包過濾功能。

包過濾防火墻的優(yōu)點(diǎn)是它對(duì)用戶而言是透明的，即用戶不需要用戶名和密碼就可以登錄。其缺點(diǎn)是沒有記錄用戶的使用記錄，這樣用戶就不能從訪問記錄中發(fā)現(xiàn)攻擊記錄。

2.應(yīng)用網(wǎng)關(guān)防火墻

網(wǎng)關(guān)防火墻是指只有網(wǎng)關(guān)主機(jī)才能到達(dá)所有的外部網(wǎng)絡(luò)，而內(nèi)部網(wǎng)絡(luò)的使用者要連接到外部網(wǎng)絡(luò)，必須先登錄這臺(tái)網(wǎng)關(guān)主機(jī)。

應(yīng)用網(wǎng)關(guān)技術(shù)是基于在網(wǎng)絡(luò)應(yīng)用層上的協(xié)議過濾，主要是針對(duì)特別的網(wǎng)絡(luò)應(yīng)用服務(wù)協(xié)議即數(shù)據(jù)過濾協(xié)議，它能夠?qū)?shù)據(jù)包進(jìn)行分析并形成報(bào)告。它嚴(yán)格控制所有輸出輸入的通信環(huán)境，以防有用數(shù)據(jù)被竊取。它還可以記錄用戶的登錄信息，以便跟蹤攻擊記錄。

有些應(yīng)用網(wǎng)關(guān)還保存Internet上的那些經(jīng)常被訪問的頁面。如果用戶請(qǐng)求的頁面已經(jīng)存在于應(yīng)用網(wǎng)關(guān)服務(wù)器緩存中，網(wǎng)關(guān)服務(wù)器就要先檢查所緩存的頁面是否是最新的版本;如果是，則直接提交給用戶，否則，就到真正的服務(wù)器上請(qǐng)求最新的頁面，然后再轉(zhuǎn)發(fā)給用戶。

3.代理服務(wù)器防火墻

代理服務(wù)器防火墻是針對(duì)每一種應(yīng)用服務(wù)程序進(jìn)行代理服務(wù)的工作。一方面代替原來的客戶建立連接，另一方面代替原來的客戶程序，與服務(wù)器建立連接。它可確保數(shù)據(jù)的完整性，只有特定的服務(wù)才會(huì)被交換;還可進(jìn)行高階的存取控制，并可對(duì)其內(nèi)容進(jìn)行過濾。

代理服務(wù)器技術(shù)作用在應(yīng)用層，對(duì)應(yīng)用層服務(wù)進(jìn)行控制，可起到內(nèi)部網(wǎng)絡(luò)向外部網(wǎng)絡(luò)交流服務(wù)時(shí)中間轉(zhuǎn)接的作用。內(nèi)部網(wǎng)絡(luò)只接受代理提出的服務(wù)請(qǐng)求，拒絕外部網(wǎng)絡(luò)其他節(jié)點(diǎn)的直接請(qǐng)求。通常情況下，代理服務(wù)器可應(yīng)用于特定的Internet服務(wù)，如HTTP、ftp等服務(wù)。代理服務(wù)器一般都有高速緩存，緩存中保存了用戶經(jīng)常訪問的頁面。當(dāng)下一個(gè)用戶要訪問同樣的頁面時(shí)，服務(wù)器就可以直接將該頁面發(fā)給用戶，從而節(jié)約了時(shí)間和網(wǎng)絡(luò)資源。

服務(wù)器防火墻解決方案，說到底就是一個(gè)保護(hù)我們電腦機(jī)密信息不被別人竊取和入侵的安全系統(tǒng)。它在我們電腦中有著硬件和軟件兩種組成，是我們與網(wǎng)絡(luò)之間信息交流的唯一出入口，同時(shí)它會(huì)根據(jù)安全文件要求隨時(shí)允許、檢測(cè)或者是拒絕出入的信息。防火墻本身就具有很強(qiáng)的抗攻擊能力，一般的小型網(wǎng)絡(luò)襲擊是完全可以扛住的。如果我們的防火墻出現(xiàn)了損壞，那么我們網(wǎng)絡(luò)中的內(nèi)容就會(huì)暴露給外部網(wǎng)絡(luò)的電腦，對(duì)我們的信息安全造成極大的安全隱患。