网络安全——防火墙

基本概念

防火墙是一个系统，通过过滤传输数据达到防止未经授权的网络传输侵入私有网络，阻止不必要流量的同时允许必要流量进入。防火墙旨在私有和共有网络间建立一道安全屏障，因为网上总有黑客和恶意攻击入侵私有网络来破坏，防火墙就是防止这些侵入的屏障

防火墙由来

对于很多电脑和大型组织来说，墙至关重要，如果你不想网上所有人都可以随意进入公司设备，特别是进来捣乱的hacker，这是就需要防火墙来保护它们。计算机网络中的墙和建筑中的概念类似，这就是防火墙的由来。

访问控制列表ACL

建筑中的防火墙提供一道屏障，着火的时候，防火墙可以阻止火蔓延到另一边烧掉整个建筑，如果没有防火墙整个楼就886，网络中的墙和防火墙结果类似，会在恶意攻击私有网络之前将其阻挡在外，墙在现代社会使用广泛，墙会过滤想进入网络传输的信息，利用既有规则来判断是否可以进入，这些规则被称为访问控制列表ACL（ACCESS CONTROL LIST），网络管理者可以定制规划这些规则并决定哪些数据可以进入网络，哪些数据去到公网，通过规则掌控允许或禁止。

举个例子

 

这里有一份ACL，显示允许或禁止通过墙的IP地址，有些IP地址可以通过墙，有些会被拒绝，如果这些IP尝试进入网络，墙就会阻止它们，因为墙定义了该规则；但是其他IP地址可以进入，因为规则允许。墙不仅根据IP地址制定规则，也可以针对域名、协议、软件、端口、关键字来指定。

防火墙的基本工作原理：

比如，通过端口号来指定，规则允许端口号80数据进入，从这些端口发出的数据才能进入网络，所以任何数据使用这些端口都能通过墙；同时在墙中禁止23、25端口的数据，任何来自这些端口的数据都会被墙阻挡下来无法进入。

 

墙有不同的类型，一种是主机型防火墙，属于软件类防火墙，安装在计算机中只对安装的这台电脑进行保护。例如最新的win系统预安装了该类墙，也可以购买安装第三方公司开发的该类墙，例如Zone Alarm一款知名的防火墙程序，许多杀毒软件会内置该类墙。

另一种类型的墙为网络型防火墙，由硬件和软件共同构成，运行在网络层上，放置在私有和公有网络之间不像主机型电脑只保护单一电脑，网络型防火墙保护整个网络，通过应用于整个网络的管理规则来实现，恶意攻击在传入电脑前就会被拦截，网络型防火墙可以当作独立的产品，主要用于大型企业；也可以内置在路由器中，此类很多小企业适用；也可以部署在服务器云架构中。

如今，很多企业双管齐下，用网络防火墙保护整个网络，用主机型墙保护电脑和服务器，确保最大程度保护，即便恶意数据通过网络型防火墙主机型墙也会在它们到达前拦截下来.