一线药师佩戴的好处:什么是防火墙？

防火墙是阻止外面的人对您的网络进行访问的设备，此设备通常是软件和硬件的组合体，它通常根据一些规则来挑选合法或非法的地址。典型的防火墙由一台BASTION主机组成，除此之外，您也可以使用一种叫作屏蔽路由器的设备，从而获得更好的安全性。为了更好地理解防火墙的工作原理，我们以一些典型主题为例进行说明。

首先绝大多数简单的身份验证过程都是以IP地址为根据的。IP地址是Internet网上最普遍的身份索引，它有静态和动态之分。

静态IP地址即固定不变的IP地址，它可以是某台连在Internet网上的主机地址。静态IP地址分几类。其中一类能通过Whois查询命令得到，并且此类地址主要是internet网上最高层的主机的IP地址，这些主机可以是域名服务器、Web服务器和“根”主机，并且在InterNIC的Whois数据库中都有它们的注册主机名；另一类静态IP地址被分配给internet网中的第二和第三层主机（这些机器还有固定的物理地址），然而这些机器不一定拥有注册主机名。但不管怎样它们都有注册的IP地址。

动态IP地址是指每次强制分配给不同的上网主机的地址。ISP的拨号服务器中经常使用动态IP地址——节点机每次拨号上网，都会被临时分配一个不同的IP地址。

无论IP地址是静态还是动态的，它都被用于网络传输中。

当您的计算机和一台远程计算机建立联接（Connection）时，各种对话随之产生。其中最常见的一种是TCP／IP的三次握手方式，对方可在三次握手过程中得知您主机的IP地址。

防火墙的概念
当然，既然打算由浅入深的来了解，就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙的功能

防火墙是网络安全的屏障：

一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

防火墙可以强化网络安全策略：

通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

对网络存取和访问进行监控审计：

如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

防止内部信息的外泄：

通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。
参考资料：http://bbs.btbbt.com/viewthread.php?tid=358293

什么是 Windows 防火墙？防火墙有助于提高计算机的安全性。Windows 防火墙将限制从其他计算机发送到您计算机上的信息，这使您可以更好地控制您计算机上的数据，并针对那些未经邀请而尝试连接到您的计算机的用户或程序（包括病毒和蠕虫）提供了一条防御线。

您可以将防火墙视为一道屏障，它检查来自 Internet 或网络的信息（常常被称为“通信”），然后根据您的防火墙设置，拒绝信息或允许信息到达您的计算机。请参见下面的图示：

在 Microsoft Windows XP Service Pack 2 (SP2) 中，Windows 防火墙在默认情况下处于打开状态。（但是，一些计算机制造商和网络管理员可能会将其关闭。）您不一定要使用 Windows 防火墙，也可以安装和运行您选择的任何防火墙。请评估其他防火墙的功能，然后确定哪种防火墙能最好地满足您的需要。如果您选择安装和运行另一个防火墙，请关闭 Windows 防火墙。

Windows 防火墙是如何工作的？
当 Internet 或网络上的某人尝试连接到您的计算机时，我们将这种尝试称为“未经请求的请求”。当您的计算机收到未经请求的请求时，Windows 防火墙会阻止该连接。如果您运行的程序（如即时消息程序或多人网络游戏）需要从 Internet 或网络接收信息，那么防火墙会询问您阻止连接还是取消阻止（允许）连接。如果您选择取消阻止连接，Windows 防火墙将创建一个“例外”，这样当该程序日后需要接收信息时，防火墙就不会打扰您了。

例如，如果某个人在与您进行即时消息通信时要向您发送文件（比如照片），那么 Windows 防火墙将询问您是否要取消阻止该连接，以便允许照片到达您的计算机。或者，如果您要在 Internet 上与朋友玩多人网络游戏，那么可以将游戏添加为例外，这样，防火墙就会允许游戏信息到达您的计算机。

虽然您可以为特定 Internet 连接和网络连接关闭 Windows 防火墙，但这样做会增加计算机安全性受到威胁的风险。

Windows 防火墙能做到的和不能做到的
能做到： 不能做到：
阻止计算机病毒和蠕虫到达您的计算机。 检测或禁止计算机病毒和蠕虫（如果它们已经在您的计算机上）。由于这个原因，您还应该安装防病毒软件并及时进行更新，以防范病毒、蠕虫和其他安全威胁破坏您的计算机或使用您的计算机将病毒扩散到其他计算机。
请求您的允许，以阻止或取消阻止某些连接请求。 阻止您打开带有危险附件的电子邮件。不要打开来自您不认识的发件人的电子邮件附件。即使您知道并信任电子邮件的来源，仍然要格外小心。如果您认识的某个人向您发送了电子邮件附件，请在打开附件前仔细查看主题行。如果主题行比较杂乱或者您认为没有任何意义，那么请在打开附件前向发件人确认。
创建记录（安全日志），可用于记录对计算机的成功连接尝试和不成功的连接尝试。此日志可用作故障排除工具。如果您希望 Windows 防火墙创建安全日志，那么请参阅启用安全记录选项。 阻止垃圾邮件或未经请求的电子邮件出现在您的收件箱中。不过，某些电子邮件程序可以帮助您做到这一点。请查看该电子邮件程序的文档，以了解更多信息。

防火墙就是通过把从本机端口中过来的信息进行过滤，以达一定的安全