防火墙是一台电脑（如PC机或服务器）或一个局域网（如Intranet或早期的LAN）内由硬件或软件或硬、软件共同组成的一道屏障，它检查来自Internet或其他网络的信息，根据防火墙事先的设置，拒绝信息或允许信息到达个人计算机或局域网。在局域网中，防火墙通常设置在控制网关或代理服务器中，可检查局域网外来访问者的权限级别而自动堵塞或引导到本局域网内相应的服务器上，也可分隔Intranet局域网内不同部分之间的访问。防火墙在网络或不同部门间建立安全屏障，根据指定策略对数据进行过滤、分析和审计，对各种攻击提供防范。其安全策略有两条：一是“凡是未被准许的就是禁止的”，防火墙先封闭所有信息流，再审查要求通过的信息，符合条件的就让其通过；二是“凡是未被禁止的就是允许的”，防火墙先接收所有信息，然后逐项剔除有害内容，再转发到目标地址。

（一）Windows防火墙^[2]

Windows防火墙在安装Windows系统时就已安装好了。Windows防火墙限制从其他计算机发送到用户计算机上的信息，这使用户可以更好地控制其计算机上的数据，并针对那些未经邀请而尝试连接到自己计算机的其他用户或程序（包括病毒和蠕虫）提供了一条防御线。

在Microsoft Windows XP Service Pack 2（SP2）中，Windows防火墙在默认情况下处于打开状态（但一些计算机制造商和网络管理员可能会将其关闭）。不一定必须使用Windows防火墙，也可以安装和运行其他防火墙。但用户应先评估其他防火墙的功能，然后确定哪种防火墙能最好地满足自己的需要。如果选择安装和运行另一个防火墙，要先关闭Windows防火墙。

Windows防火墙是如何工作的呢？当Internet或网络上的某人尝试连接到用户计算机时，我们将这种尝试称为“未经请求的请求”。当用户的计算机收到未经请求的请求时，Windows防火墙会阻止该连接。如果用户运行的程序（如即时消息程序或多人网络游戏）需要从Internet或网络接收信息，那么防火墙会询问用户阻止连接还是取消阻止（允许）连接。如果用户选择取消阻止连接，Windows防火墙将创建一个“例外”，这样当该程序日后需要接收信息时，防火墙就不会再询问了。例如，如果某个人在与您进行即时消息通信时要向您发送文件（比如照片），那么Windows防火墙将询问您是否要取消阻止该连接，以便允许照片到达您的计算机。或者，如果您要在Internet上与朋友玩多人网络游戏，那么可以将游戏添加为例外，这样，防火墙就会允许游戏信息到达您的计算机。

虽然可以为特定Internet连接和网络连接关闭Windows防火墙，但这样做会增加计算机安全性受到威胁的风险。

（二）局域网防火墙

局域网防火墙通常设置在局域网的控制网关或代理服务器中，可分为网络级防火墙和应用级防火墙。

网络级防火墙价格低但功能也低，它检查信息包的源地址和目标地址，依设定好的规则过滤信息，但其原则是引导信息到达相应的目标地址而非拒绝信息，所以黑客可通过IP地址的循询方法把自己伪装成合法的用户而攻入内部网。

应用级防火墙提供高级的用户化的网络安全控制设置，但价格相当高。它安装代理服务软件Proxies，使得所有的电子邮件都可以进来，但对某些特定任务则可授权决定其访问权限，或使用一次性口令控制。应用级防火墙也对传送的信息进行登记、审查、生成报告以报告非授权的活动。

防火墙技术主要有以下三种：（1）包过滤技术，在网络层根据系统设定的安全策略决定是否让数据包通过，其核心是安全策略即过滤算法设计。（2）代理服务技术，提供应用层服务控制，起到外部网络向内部网络申请服务时的中间转接作用。代理服务还用于实施较强数据流监控、过滤、记录等功能。（3）状态监控技术，在网络层完成所有必要的包过滤与网络服务代理防火墙功能。

防火墙的控制授权功能越复杂、越高级，其灵活性就越差，从而影响对外来信息访问的授权及方便性，严重时甚至会影响企业在Internet上做电子商务的能力，所以必须全面考虑安装何种级别的防火墙为宜。

防火墙实例：FortiGate-3600A

（1）出品：北京泰和永安科技有限公司。

（2）外观：如图2-1所示。

图2-1　FortiGate-3600A防火墙外观(www.daowen.com)

（3）主要参数

设备类型：企业级防火墙。

并发连接数：1 000 000。

网络端口：8个10/100/1000接口、2个1GB SFP接口。

用户数限制：无用户数限制。

安全标准：FCC Class A、Pan 15、UL/CUL、C Tick、CE、VCCI。

VPN支持：支持。

（4）一般参数

适用环境：工作温度（0℃～40℃），存储温度（-25℃～70℃），湿度（5%～95%非凝结）。

电源：双100VAC～240VAC，50Hz～60Hz。

防火墙尺寸：88.9mm×429.3mm×429.3mm。

防火墙重量：11.8kg。

传统防火墙的不足主要体现在以下几个方面。

（1）有些主动或被动的攻击行为是来自防火墙内部的，防火墙无法发现内部网络中的攻击行为；不能防范内部用户的误操作产生的威胁；不能防范因口令、账号等泄密而被外部用户攻击；不能防止病毒的传播。

（2）防火墙作为访问控制设备，无法检测或拦截嵌入普通流量中的恶意攻击代码，如针对Web服务的Code Red蠕虫等。

（3）作为网络访问控制设备，受限于功能设计，防火墙难以识别复杂的网络攻击并保存相关信息，以协助后续调查和取证工作的开展。