我們知道(dào)，原是指古代人(rén)們房(fáng)屋之間(jiān)修建的那(nà)道(dào)牆，這道(dào)牆可(kě)以防止火(huǒ)災發生(shēng)的時(shí)候蔓延到别的房(fáng)屋。

而這裏所說的防火(huǒ)牆當然不是指物理(lǐ)上(shàng)的防火(huǒ)牆，而是指隔離在本地網絡與外界網絡之間(jiān)的一道(dào)防禦系統，其實原理(lǐ)是一樣的，也就是防止災難擴散。

應該說，在互聯網上(shàng)防火(huǒ)牆是一種非常有(yǒu)效的網絡安全模型，通(tōng)過它可(kě)以隔離風險區(qū)域(即Internet或有(yǒu)一定風險的網絡)與安全區(qū)域(局域網)的連接，同時(shí)不會(huì)妨礙人(rén)們對風險區(qū)域的訪問。所以它一般連接在核心交換機與外網之間(jiān)。

如下圖，它的連接就可(kě)以看出，它基本上(shàng)在內(nèi)部網絡與外網之間(jiān)，起到一個(gè)把關的作(zuò)用。

防火(huǒ)牆可(kě)以監控進出網絡的通(tōng)信量，從而完成看似不可(kě)能的任務，僅讓安全、核準了的信息進入，同時(shí)又抵制(zhì)對企業構成威脅的數(shù)據，

說白了，它就像一個(gè)守城隊，這個(gè)城處于緊張狀态，隻能讓外界的良民進城，對城裏的壞人(rén)進行(xíng)盤點，不放走一個(gè)壞人(rén)。

随着安全性問題上(shàng)的失誤和(hé)缺陷越來(lái)越普遍，對網絡的入侵不僅來(lái)自高(gāo)超的攻擊手段，也有(yǒu)可(kě)能來(lái)自配置上(shàng)的低(dī)級錯誤或不合适的口令選擇。

還(hái)來(lái)說城，

入城盤點：入侵者想要進入一座城，它有(yǒu)多(duō)種方式，打扮成各種方式入城，例如，假口令、假令牌，僞裝等。所以守城隊是防止這種可(kě)疑的人(rén)員入城的，另外對于城內(nèi)百姓，也是禁止百姓靠近城內(nèi)的主要防禦設施。

出城監視(shì)：同時(shí)為(wèi)了更好保護城內(nèi)百姓，守城隊當然還(hái)需要打探城外的動向，了解到哪些(xiē)地方安全，哪些(xiē)地方有(yǒu)危險，然後規定普通(tōng)百姓想要出城，有(yǒu)一些(xiē)地方能去，有(yǒu)些(xiē)地方有(yǒu)危險不能去。

因此，防火(huǒ)牆的作(zuò)用是防止不希望的、未授權的通(tōng)信進出被保護的網絡，迫使單位強化自己的網絡安全政策。一般的防火(huǒ)牆都可(kě)以達到以下目的：

一是：可(kě)以限制(zhì)他人(rén)進入內(nèi)部網絡，過濾掉不安全服務和(hé)非法用戶；

二是：防止入侵者接近你(nǐ)的防禦設施；

三是：限定用戶訪問特殊站(zhàn)點。

四是：為(wèi)監視(shì)Internet安全提供方便。

防火(huǒ)牆可(kě)以使用戶的網絡劃規劃更加清晰明(míng)了，全面防止跨越權限的數(shù)據訪問，如果沒有(yǒu)防火(huǒ)牆的話(huà)，你(nǐ)可(kě)能會(huì)接到許許多(duō)多(duō)類似的報告，比如單位內(nèi)部的财政報告剛剛被數(shù)萬個(gè)Email郵件炸爛。

一套完整的防火(huǒ)牆系統通(tōng)常是由屏蔽路由器(qì)和(hé)代理(lǐ)服務器(qì)組成。

1、屏蔽路由器(qì)：

是一個(gè)多(duō)端口的IP路由器(qì)，它通(tōng)過對每一個(gè)到來(lái)的IP包依據組規則進行(xíng)檢查來(lái)判斷是否對之進行(xíng)轉發。屏蔽路由器(qì)從包頭取得(de)信息，例如協議号、收發報文的IP地址和(hé)端口号、連接标志(zhì)以至另外一些(xiē)IP選項，對IP包進行(xíng)過濾。

這裏面舉個(gè)例子：

一堆人(rén)來(lái)到一個(gè)快要開(kāi)盤樓盤售樓部買房(fáng)，售樓小(xiǎo)姐先需要對你(nǐ)們進行(xíng)大(dà)概的登記和(hé)了解，你(nǐ)是否有(yǒu)正規工作(zuò)，是否是本市戶口，是否能正常貸款，首付多(duō)少(shǎo)、、、,當進行(xíng)這一系列的問題後，售樓小(xiǎo)姐會(huì)對來(lái)買房(fáng)的人(rén)員進行(xíng)一個(gè)過濾。

2、代理(lǐ)服務器(qì)：

是防火(huǒ)牆中的一個(gè)服務器(qì)進程，它能夠代替網絡用戶完成特定的TCP/TP功能。一個(gè)代理(lǐ)服務器(qì)本質上(shàng)是一個(gè)應用層的網關，網關我們前天講到過，它就是一個(gè)關口。

一個(gè)為(wèi)特定網絡應用而連接兩個(gè)網絡的網關。用戶就一項TCP/TP應用，比如Telnet或者FTP，同代理(lǐ)服務器(qì)打交道(dào)，代理(lǐ)服務器(qì)要求用戶提供其要訪問的遠程主機名。

當用戶答(dá)複并提供了正确的用戶身份及認證信息後，代理(lǐ)服務器(qì)連通(tōng)遠程主機，為(wèi)兩個(gè)通(tōng)信點充當中繼。整個(gè)過程可(kě)以對用戶完全透明(míng)。用戶提供的用戶身份及認證信息可(kě)用于用戶級的認證。

還(hái)來(lái)講買房(fáng)：

當你(nǐ)已經符合買房(fáng)的條件了，你(nǐ)要買到房(fáng)，關鍵的環節就是貸款，這時(shí)售樓顧問就是網關，你(nǐ)提供完整的貸款資料（工資證明(míng)，收入明(míng)細等）給售樓顧問，售樓顧問會(huì)審核下，各條件都符合了，沒有(yǒu)問題的話(huà)，他就提交給銀行(xíng)，貸款批下來(lái)了，房(fáng)子就可(kě)以順利的買到了。

一、為(wèi)什麽使用防火(huǒ)牆 

　　防火(huǒ)牆具有(yǒu)很(hěn)好的保護作(zuò)用。入侵者必須首先穿越防火(huǒ)牆的安全防線，才能接觸目标計(jì)算(suàn)機。你(nǐ)可(kě)以将防火(huǒ)牆配置成許多(duō)不同保護級别。高(gāo)級别的保護可(kě)能會(huì)禁止一些(xiē)服務，如視(shì)頻流等，但(dàn)至少(shǎo)這是你(nǐ)自己的保護選擇。

二、防火(huǒ)牆的五大(dà)基礎的作(zuò)用：

1.過濾進出網絡的數(shù)據 
2.管理(lǐ)進出訪問網絡的行(xíng)為(wèi) 
3.封堵某些(xiē)禁止業務 
4.記錄通(tōng)過防火(huǒ)牆信息內(nèi)容和(hé)活動 
5.對網絡攻擊檢測和(hé)告警