刪除你的一個計算機盲點：一文看懂計算機防火牆

大家好，我是猴哥！猴哥出品，必是精品，點選關注，給你好看！

持續更新通俗易懂的技術知識，為您護航充電！

本文章節內容

引入防火牆的原因——目的何在？

防火牆的功能——是防火嗎？

防火牆的真面目是什麼？——真的是牆嗎？

理想的防火牆結構

如何使用window防火牆阻斷軟體聯網？——幾步設定即可

本文將以圖例的形式結合通俗易懂的語言對計算機網路中常提到的

防火牆技術

做詳細的解讀，

旨在

讓廣大讀者朋友們認識、瞭解

防火牆的“故事”，縮小更多計算機盲區！

防火牆

一、為什麼需要防火牆？

網際網路在加速全球資訊化程序的同時，也對世界範圍內的資訊保安提出了嚴峻的挑戰。網際網路的開放性與自由性給人類獲取與釋出資訊帶來了巨大便利，可這同時也是網際網路資訊易被汙染、入侵與破壞的主要原因，這些損害主要來自於以下多個方面：

❶

網際網路信任所有的接入主機

網際網路的開放性允許全球任何一臺網路裝置訪問網際網路而不會去檢測該裝置的

可靠性

，也就是說如果接入網際網路的所有主機中存在一臺安全性、可靠性薄弱的裝置，只要攻破這臺主機，那麼任何有危害的資料或病毒都可以透過該主機進入網際網路，殃及更多的網際網路裝置，可以給全球企業和個人帶來無法估量的損失，造成不可預料的災難。

❷

不完善的各種協議服務

當今網際網路中使用的所有服務，如Telnet服務、DNS服務、FTP服務、Web服務、ActiveX等都是存在安全漏洞的，我們經常為計算機打的補丁就包含修復這些服務的功能。

這些服務的任何漏洞都是可以成為網際網路主機被攻擊、破壞的突破口！

❸

TCP/IP協議的安全隱患

TCP/IP協議是Internet中任意兩臺主機進行通訊時必須遵循的國際通用資訊規範，但由於TCP/IP協議是完全公開的，並不是一套安全性完善的資訊規則，進而成為了不法分子實施網路攻擊的重點目標之一。

TCP/IP協議的安全性問題主要有以下幾點：

TCP/IP協議重在建立網路連對連線安全性做足考慮

TCP/IP協議是基於IP地址的，而基於地址的協議本身就存在各種安全性問題

網際網路中的主機通訊只認IP報文，而報文可以被不法分子截獲或者修改，這就無法保證所有的網際網路主機都是來自於可信任的網路環境，大大降低了不法分子進行網路攻擊的難度

網際網路本身就有漏洞

由於所有的應用層計算機程式都是透過TCP連線進行資料傳輸的，只要TCP的安全漏洞被利用，攻擊者直接可以遠端操控目標主機，達到汙染/盜取資料，截獲密碼、破壞計算機等目的，所以TCP/IP協議並不能保證網路的絕對安全。

在遇到上述這些問題時，追查根源是非常困難的，因為

網際網路信任接入的每一臺裝置，該裝置可以來自任何可接入因特網的地方，而且可以使用任何一種服務的漏洞或者TCP/IP協議的漏洞。

難覓攻擊源主機

既然如此，想要透過源頭來解決目標主機被破壞的問題幾乎沒有可能，因為要防止所有型別的網際網路攻擊其工作量是做不到的，但反過來，只控制進入目標主機的網際網路資料是可行的，

這就要求有一種網路安全解決方案，能夠對安全網路環境與不安全網路環境之間的資料訪問進行控制，而要達到此目的，最基本的方案就是防火牆技術！

二、防火牆的功能——是防火嗎？

防火牆

一詞與一汽車部件同名，在汽車中防火牆的功能是將乘客與發動機引擎進行隔離，防止汽車引擎著火波及乘客。除汽車

防火牆外，

現實建築物中也有

防火牆的概念

，在建築領域防火牆的作用是阻隔火源，阻止火情蔓延。

由上述內容可以斷定

防火牆的功能的確就是防火，只不過在計算機領域，防火牆防的是另一種“火”——網際網路上的所有不安全因素，阻斷的是這種“火”在企業、機構或組織內部網路中的蔓延！

計算機防火牆也是“防火”

防火牆作為一套網路安全管理機制，可以將

需要保護的網路

與開放性的網際網路或者其他不可信任的網路環境進行隔離，使得被保護的網路成為完全可控的、可信任的安全網路

，這就是防火牆的主要功能！

三、防火牆的真面目——真的是牆嗎？

我們已經介紹了引入防火牆的原因

：為了解決前文中提到的多種網路安全漏洞！

那麼，防火牆的真面目到底是什麼樣子呢？它真的是一堵牆嗎？防火牆具體是怎麼實現的呢？

本節為您揭曉！

揭開防火牆的真面目

國電話電報公司（AT&T）的工程師定義了防火牆的具體內容：

◆ 所有內網與外網的資料互動都必須經過防火牆

◆ 所有的內網訪問通訊必須經過防火牆授權

◆ 整個內網系統具有很強的可靠性

從定義來看，防火牆是一個可以控制網路資料進出內外網的“東西”，不僅能夠檢查網路資料，而且具有保障內網不受外部不安全因素破壞的能力，所以防火牆在功能上，是一個集隔離、審查於一體的器件；在實現上，防火牆是由一組位於特殊網路位置上的硬體裝置（路由器、主機等）組成的主機或路由器系統。

防火牆=特定功能的主機/路由器

四、理想的防火牆結構

在介紹防火牆結構之前，我們首先要清楚三個概念：

內網——又稱內部網路區域，指企業內部網路或一部分內部網路

外網——又稱外部網路區域，指因特網或非內部區域網路，不屬於網際網路信任的網路環境

邊界網路——內外網都可以訪問的子網

過濾路由器——在普通路由器中設定相關的過濾功能形成的最簡單的防火牆

代理伺服器——充當內網DNS

、

內網與外網通訊的閘道器，可提供各種資訊服務(mail、ftp服務等)功能

★

理想的防火牆結構如下：

理想防火牆結構

根據上圖可以看出，理想型防火牆將一個主機的多種服務功能（WWW/FTP/MAIL等）分散至多個單獨的從主機進行分開管理。在理想型防火牆中一共有三道安全防線，

第一道防線

就是過濾路由器，能夠進行IP分組資料包的過濾；

第二道防線

就是分散在邊界網路中的單服務主機（圖中為代理伺服器），由於只提供一種服務，一方面使得邊界網路中的主機更易於配置，另一方面增加了內網被攻破的難度；

第三道防線

就是內部路由器，內網最後的安全防護手段。

其實，當今的商用防火牆已經將上述功能全部整合為單件產品，只需要進行配置就能夠實現上述理想結構中的相似功能，如華為的一款防火牆產品：

華為的一款防火牆產品

五、如何使用window防火牆阻斷軟體聯網？——幾步設定即可

我們在使用計算機進行學習、工作的過程中經常會遇到這樣一個問題：

因各種原因想要禁止某個軟體聯網，卻不知怎麼辦：

比如被破解的軟體後臺自動更新導致破解失效

比如有些不法軟體自動下載安裝其他垃圾軟體

比如某些惡業軟體經常彈窗廣告

......

遇到上述問題時，我們就

可以使用window系統自帶的防火牆來禁止這些軟體聯網進而避免各種問題的發生。具體操作我們直接透過截圖的形式為讀者展示：

window防火牆禁止軟體聯網流程

總結

本文透過通俗易懂的語言結合圖文深入淺出的

對計算機術語“防火牆”

進行了詳細的說明與介紹。

希望透過本文的講解讓更多的人對

防火牆

，對計算機，對網際網路有更多新的認識！

文中如有不妥之處，歡迎批評指正，衷心感謝您的閱讀！

3Q