室内建筑防火墙是什么意思

7人参与回答

• 段悠然

  过去写过那么多服务器管理和服务器防御的文章，里面多涵盖了“服务器防火墙”这一词，相信每位朋友的电脑多安装或者打开过----服务器防火墙。或者说当你在电脑上安装软件后，想要打开却收到一个弹窗，对话框提示连接失败，请检查您的网络防火墙。没错，这就是我们所说的服务器防火墙。和高防服务器一样，单说防防御，服务器防火墙是用来保护我们服务器机密数据的一道防线。

  一、服务器防火墙的作用

  ①防火墙是保护网站的工具：入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。

  ②防止内部信息的外泄：通过利用防火墙对内部网络的划分，实现重点网段隔离，限制局部重点或敏感网络安全问题对全局网络造成的影响。避免暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS，用户的注册名、真名，最后登录时间和使用shell类型等。防火墙可以同样阻塞有关内部网络中的DNS信息。

  ③服务器防火墙能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据：当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。

  ④服务器防火墙具有Internet服务特性的企业内部网络技术体系VPN【虚拟专用网】。

  防火墙的是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个【或多个】网络间，实施网络之间访问控制的一组组件集合。防火墙可以强化网络安全策略：通过以防火墙为中心的安全方案配置，能将所有安全软件【如口令、加密、身份认证、审计等】配置在防火墙上。与将网络安全问题分散到各个主机上相比，集中安全管理更经济。在网络访问时，一次一密口令系统和其它的身份认证系统可以不必分散，可以集中在防火墙一身上。

  二、以下是两种常见的服务器防火墙:

  网络层防火墙和应用层防火墙。 这两类型防火墙也许重叠; 的确, 单一系统会两个一起实施。网络层防火墙可视为一种 IP封包过滤器，运作在底层的 TCP/IP

  协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。现在的操作系统及网络设备大多已内置防火墙功能。

  较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP地址、来源端口号、目的 IP地址或端口号、服务类型【如 WWW或是FTP】。也能经由通信协议、TTL值、来源的网域名称或网段...等属性来进行过滤。

  应用层防火墙

  应用层防火墙是在 TCP/IP堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包【通常是直接将封包丢弃】。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。

  防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂【软件有千千百百种啊】，所以大部分的防火墙都不会考虑以这种方法设计。

  XML防火墙是一种新型态的应用层防火墙。

  三、高防服务器防火墙的性能指标：

  1、吞吐量：服务器防火墙能同时处理的最大数据量;衡量标准，吞吐量越大，性能越高。

  2、时延：数据包的第一个比特进入服务器防火墙到最后一个比特输出服务器防火墙的时间间隔指标，衡量标准：延时越小，性能越高。

  衡量标准：丢包率越小，服务器防火墙的性能越高。

  4、背靠背：缓存，主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量【例如：NFS，备份，路由更新等】，而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。

  5、并发连接数：访问量，并发连接数指标越大，抗攻击能力也越强

  总结 ：建设防火墙需要仔细的选择和配置一个解决方案来满足你的需求，然后不断的去维护它。需要做很多的决定，对一个站点是正确的解决方案往往对另外站点来说是错误的。并不要指望防火墙靠自身就能够给予你安全。防火墙保护你免受一类攻击的威胁，但是却不能防止从LAN内部的攻击，它甚至不能保护你免受所有那些它能检测到的攻击。做好最坏的心理准备。

  最后提醒大家，防火墙不是万能的,对一些新出现的病毒和木马可能没有反映,要时常的更新.机器可能会停止运行，有恶意动机的用户可能做坏的事情并成功的打败你。但是你可以选择互联数据，知名度高、口碑好，以硬软件构建服务器防火墙，针对DDoS攻击的防御体系，能有效应对DOSS攻击，做好事前安全、事中抵抗、事后分析，然后分析总结出结论后，再进行下一轮的事情安全循环。

• 杏香满屋

  先声明这里讨论的是计算机网络系统的防火墙，并非建筑内部的防火设备。中文歧义太多了。。

  【什么是防火墙】

  防火墙是一种集成软硬件为一体的计算机网络设备，一般位置处于不同性质网络之间（例如计算机局域网与广域互联网之间），用于网络数据通信的信息过滤。举个例子，下面图中的防火墙处于园区互联网出口，一端连接局域网的汇聚交换机，另一端连接ISP运营商的路由器或BRAS等网络设备。它能够根据企业的安全策略控制【比如允许、拒绝、检测等】出入网络的信息流，本身具有较强的抗攻击能力。

  简单说，防火墙就是一种提供信息安全服务，实现网络和信息安全的基础设施。

  数据来源：H3C官网，H3C SecPath F10x0防火墙介绍

  关于防火墙的详细规格参数，性能，选购配置，应用指南等信息，可以参考下面官网的产品介绍，类似的产品大同小异。

  【防火墙的内部架构简介】

  例如Palo Alto防火墙，是一种包过滤防火墙，内部硬件由CPU、RAM、NVRAM、FIASH、ROM和一些相应的端口通过内部总线相连而构成，固件采用CISCO PⅨ OS操作系统。行业中常用处理器有Broadcom，Fortinet，Intel，NXP等。

  【为什么使用防火墙】

  一般的认为，局域网由于封闭性，其安全系数比较高，是低风险的，可信的；而互联网就充满未知和风险，是不可信的。例如蠕虫、木马、钓鱼网站等各种攻击方式对局域内网的安全产生严重威胁，有必要利用利用防火墙作为局域网的唯一出口，对数据进行防范。

  另外，新一代的防火墙功能强大，还具有应用层状态包过滤功能，（如FTP、HTTP、SMTP、RTSP及其它基于TCP/UDP协议的应用层协议）。其他的如验证，授权，审计，NAT和VPN等功能也具实用价值。

• 蒲亚博

  防火墙（Firewall）是指一个由软件或硬件设备组合而成，处于企业或网络群体电脑与外界通道之间，用来加强因特网与内部网之间安全防范的一个或一组系统。它控制网络内外的信息交流，提供接入控制和审查跟踪，是一种访问控制机制。一般防火墙具备以下特点：广泛的服务支持。通过将动态的、应用层的过滤能力和认证相结合，可实现WWW浏览、HTIP服务、FIP服务等；通过对专用数据的加密支持，保证通过Internet进行的虚拟专用网商务活动不受破坏；客户端认证只允许指定的用户访问内部网络或选择服务，是企业本地网与分支机构、商业伙伴和移动用户间安全通信的附加部分；反欺骗。欺骗是从外部获取网络访问权的常用手段，它使数据包好象来自网络内部。防火墙能监视这样的数据包并能扔掉它们。防火墙的设置有两条原则：一是“凡是未被准许的就是禁止的”。另一条策略与此正好相反，它坚持“凡是未被禁止的就是允许的”。然后再逐项剔除有害的内容，被禁止的内容越多，防火墙的作用就越大。在此策略下，网络的灵活性得到完整地保留。但是就怕漏过的信息太多，使安全风险加大，并且网络管理者往往疲于奔命，工作量增大。正因为安全领域中有许多变动的因素，所以安全策略的制定不应建立在静态的基础上。在制定防火墙安全规则时，应符合“可适应性的安全管理”模型的原则，即：安全=风险分析＋执行策略＋系统实施＋漏洞监测＋实时响应从而满足综合性与整体性相结合的要求。现有的防火墙技术主要有两大类：数据包过滤技术和代理服务技术。第一类是数据包过滤技术（PacketFilter）。它是在网络层对数据包实施有选择的放行。第二类是代理服务技术（ProXyService）。这是一种基于代理服务器的防火墙技术，通常由两部分构成--客户与代理服务器连接，代理服务器再与外部服务器连接，而内部网络与外部网络之间没有直接的连接关系。防火墙是有其局限性的：防火墙不能防止绕过防火墙的攻击。比如，一个企业内联网设置了防火墙，但是该网络的一个用户基于某种理由另外直接与网络的服务提供商连接，绕过了企业内联网的保护，为该网留下了一个供人攻击的后门，成了一个潜在的安全隐患。防火墙经不起人为因素的攻击。由于防火墙对网络安全实施单点挖掘，因此可能受到黑客们的攻击。像企业内联网由于管理原因造成的人为破坏，防火墙是无能为力的。防火墙不能保证数据的秘密性，不能对数据进行鉴别，也不能保证网络不受病毒的攻击。任何防火墙不可能对通过的数据流中每一个文件进行扫描检查病毒。目前市场上很多流行的安全设备都属于静态安全技术范畴，如防火墙和系统外壳等外围保护设备。外围保护设备针对的是来自系统外部的攻击，一旦外部侵入者进入了系统，他们便不受任何阻挡。认证手段也与此类似，一旦侵入者骗过了认证系统，那么侵入者便成为系统的内部人员。传统防火墙的缺点在于无法做到安全与速度同步提高，一旦考虑到安全因素而对网络数据流量进行深入检测和分析，那么网络传输速度势必受到影响。静态安全技术的缺点是需要人工来实施和维护，不能主动跟踪侵入者。传统的防火墙产品就是典型的这类产品。其高昂的维护费用和对网络性能的影响，任何人都无法回避。系统管理员需要专门的安全分析软件和技术来确定防火墙是否受到攻击。针对静态安全技术的不足，许多世界网络安全和管理专家都提出了各自的解决方案，如NAI为传统的防火墙技术做出了重要的补充和强化，其最新的防火墙系统GauntletFirewa113.0forwindowsNT包含了NAI技术专家多年来的研究成果“自适应代理技术”等。

• 江南。陈

  1、强化网络安全策略通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完可以不必分散在各个主机上，而集中在防火墙一身上。

  2、监控网络存取和访问如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。

  3、防止内部信息的外泄通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

  4、实现数据库安全的实时防护数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。

  5、其他功能除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系VPN（虚拟专用网）。防火墙的英文名为“FireWall”，它是目前一种最重要的网络防护设备。从专业角度讲，防火墙是位于两个（或多个）网络间，实施网络之间访问控制的一组组件集合。

• 雨家三少

  防火墙是Internet上广泛应用的一种安全措施，它是设置在不同网络或网络安全域之间的一系列部件的组合，它能通过监测、限制、更改跨越防火墙的数据流，尽可能地检测网络内外信息、结构和运行状况，以此来实现网络的安全保护。防火墙技术通过配置全套的安全解决方案能有效地实现网络访问的安全控制，防止内部网络重要信息泄露，隔离过滤Internet上的不健康、不安全站点，阻止信息资源的非法访问和外部不可预料的潜在破坏。

• 店主小小

  防火墙原意是指阻止火势蔓延的墙避，后来引伸到网络中的意思为阻隔内网和外网的设备或者是软件。防火墙分为软件防火墙和硬件防火墙，软硬兼用可以更好的保护我们的内网安全。电脑了防火墙以后即使是受到攻击最多也只是攻击我们的防火墙，大大降低了我们电脑受攻击入侵的危险。

• 兰舍荷得

  防火墙是一个位于内部网络与Internet之间的网络安全系统，是按照一定的安全策略建立起来的硬件和【或】软件的有机组成体，以防止黑客的攻击，保护内部网络的安全运行。防火墙可以被安全在一个单独的路由器中，用来过滤不想要的信息包，也可以被安装在路由器和主机中，发挥更大的网络安全保护作用。防火墙被广泛用来让用户在一个安全屏障后接入互联网，还被用来把一家企业的公共网络服务器和企业内部网络隔开。另外，防火墙还可以被用来保护企业内部网络某一个部分的安全。例如，一个研究或者会计子网可能很容易受到来自企业内部网络里面的窥探。