個人認識防火墻分軟件防火墻與硬件防火墻。

就軟件防火墻而言又分網絡防火墻與病毒防火墻，這之中還有手機防火墻。我們常用到的軟件防火墻品牌包括瑞星，冰盾等。

就硬件防火墻我這里就引用點現成的東西，以便說明硬件防火墻在網絡中的使用。　

首先為什么要研究安全?

什么是“計算機安全”？廣義地講，安全是指防止其他人利用、借助你的計算機或外圍設備，做你不希望他們做的任何事情。首要問題是：“我們力圖保護的是些什么資源？”答案并不是明確的.通常，對這個問題的答案是采取必要的主機專用措施。圖5描述了目前的網絡現壯。

　498)this.style.width=498;">

許多人都抱怨Windows漏洞太多，有的人甚至為這一個又一個的漏洞煩惱。為此，本文簡要的向您介紹怎樣才能架起網絡安全防線。

禁用沒用的服務

Windows提供了許許多多的服務，其實有許多我們是根本也用不上的?；蛟S你還不知道，有些服務正為居心叵測的人開啟后門。

Windows還有許多服務，在此不做過多地介紹。大家可以根據自己實際情況禁止某些服務。禁用不必要的服務，除了可以減少安全隱患，還可以增加Windows運行速度，何樂而不為呢？

打補丁

Microsoft公司時不時就會在網上免費提供一些補丁，有時間可以去打打補丁。除了可以增強兼容性外，更重要的是堵上已發現的安全漏洞。建議有能力的朋友可以根據自己的實際情況根據情況打適合自己補丁。

防火墻

選擇一款徹底隔離病毒的辦法,物理隔離 Fortigate能夠預防十多種黑客攻擊，

分布式服務拒絕攻擊DDOS（Distributed Denial-Of-Service attacks）

※SYN Attack

※ICMP Flood

※UDP Flood

IP碎片攻擊（IP Fragmentation attacks）

※Ping of Death attack

※Tear Drop attack

※Land attack

端口掃描攻擊（Port Scan Attacks）

IP源路由攻擊（IP Source Attacks）

IP Spoofing Attacks

Address Sweep Attacks

WinNuke Attacks 您可以配置Fortigate在受到攻擊時發送警告郵件給管理員，最多可以指定3個郵件接受人。

防火墻的根本手段是隔離.安裝防火墻后必須對其進行必要的設置和時刻日志跟蹤。這樣才能發揮其最大的威力。

而我們這里主要講述防火墻概念以及與訪問控制列表的聯系。這里我綜合了網上有關防火墻，訪問控制表的定義。

防火墻概念

防火墻包含著一對矛盾( 或 稱 機 制)：

一方面它限制數據流通，另一方面它又允許數據流通。

由于網絡的管理機制及安全策略(security policy)不同，因此這對矛盾呈現出不同的表現形式。

存在兩種極端的情形：

第一種是除了非允許不可的都被禁止，第二種是除了非禁止不可都被允許。

第一種的特點是安全但不好用，第二種是好用但不安全，而多數防火墻都在兩者之間采取折衷。

在確保防火墻安全或比較安全前提下提高訪問效率是當前防火墻技術研究和實現的熱點。

保護脆弱的服務

通過過濾不安全的服務，Firewall可以極大地提高網絡安全和減少子網中主機的風險。例如，Firewall可以禁止NIS、NFS服務通過，Firewall同時可以拒絕源路由和ICMP重定向封包。

控制對系統的訪問

Firewall可以提供對系統的訪問控制。如允許從外部訪問某些主機，同時禁止訪問另外的主機。

集中的安全管理

Firewall對企業內部網實現集中的安全管理，在Firewall定義的安全規則可以運行于整個內部網絡系統，而無須在內部網每臺機器上分別設立安全策略。Firewall可以定義不同的認證方法，而不需要在每臺機器上分別安裝特定的認證軟件。外部用戶也只需要經過一次認證即可訪問內部網。

增強的保密性

使用Firewall可以阻止攻擊者獲取攻擊網絡系統的有用信息，如Figer和DNS。

記錄和統計網絡利用數據以及非法使用數據

Firewall可以記錄和統計通過Firewall的網絡通訊，提供關于網絡使用的統計數據，并且，Firewall可以提供統計數據，來判斷可能的攻擊和探測。

策略執行

Firewall提供了制定和執行網絡安全策略的手段。未設置Firewall時，網絡安全取決于每臺主機的用戶

防火墻的功能

防火墻是網絡安全的屏障：

一個防火墻（作為阻塞點、控制點）能極大地提高一個內部網絡的安全性，并通過過濾不安全的服務而降低風險。

防火墻可以強化網絡安全策略：

通過以防火墻為中心的安全方案配置，能將所有安全軟件（如口令、加密、身份認證、審計等）配置在防火墻上。與將網絡安全問題分散到各個主機上相比，防火墻的集中安全管理更經濟。

對網絡存取和訪問進行監控審計：

如果所有的訪問都經過防火墻，那么，防火墻就能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據。當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。

另外，收集一個網絡的使用和誤用情況也是非常重要的。

首先的理由是可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，

并且清楚防火墻的控制是否充足。而網絡使用統計對網絡需求分析和威脅分析等而言也是非常重要的。

防止內部信息的外泄：

隱私是內部網絡非常關心的問題.通過利用防火墻對內部網絡的劃分，可實現內部網重點網段的隔離，從而限制了局部重點或敏感網絡安全問題對全局網絡造成的影響。

除了安全作用，防火墻還支持具有Internet服務特性的企業內部網絡技術體系VPN。通過VPN，將企事業單位在地域上分布在全世界各地的LAN或專用子網，有機地聯成一個整體。不僅省去了專用通信線路，而且為信息共享提供了技術保障。

防火墻技術

防火墻能增強機構內部網絡的安全性,必須只允許授權的數據通過，而且防火墻本身也必須能夠免于滲透。

防火墻的五大功能

一般來說，防火墻具有以下幾種功能：

1．允許網絡管理員定義一個中心點來防止非法用戶進入內部網絡。

2．可以很方便地監視網絡的安全性，并報警。

3．可以作為部署NAT（Network Address Translation，網絡地址變換）的地點，利用NAT技術，將有限的IP地址動態或靜態地與內部的IP地址對應起來，用來緩解地址空間短缺的問題。

4．是審計和記錄Internet使用費用的一個最佳地點。網絡管理員可以在此向管理部門提供Internet連接的費用情況，查出潛在的帶寬瓶頸位置，并能夠依據本機構的核算模式提供部門級的計費。

5．可以連接到一個單獨的網段上，從物理上和內部網段隔開，并在此部署WWW服務器和FTP服務器，將其作為向外部發布內部信息的地點。從技術角度來講，就是所謂的停火區（DMZ）。

防火墻的兩大分類

1． 包過濾防火墻

第一代：靜態包過濾

這種類型的防火墻根據定義好的過濾規則審查每個數據包，以便確定其是否與某一條包過濾規則匹配。過濾規則基于數據包的報頭信息進行制訂。報頭信息中包括IP源地址、IP目標地址、傳輸協議(TCP、UDP、ICMP等等)、TCP/UDP目標端口、ICMP消息類型等。包過濾類型的防火墻要遵循的一條基本原則是"最小特權原則"，即明確允許那些管理員希望通過的數據包，禁止其他的數據包。

第二代：動態包過濾

這種類型的防火墻采用動態設置包過濾規則的方法，避免了靜態包過濾所具有的問題。這種技術后來發展成為所謂包狀態監測（Stateful Inspection）技術。采用這種技術的防火墻對通過其建立的每一個連接都進行跟蹤，并且根據需要可動態地在過濾規則中增加或更新條目。

2． 代理防火墻

第一代：代理防火墻

代理防火墻也叫應用層網關（Application Gateway）防火墻。這種防火墻通過一種代理（Proxy）技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后，就好像是源于防火墻外部網卡一樣，從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。它的核心技術就是代理服務器技術。

代理類型防火墻的最突出的優點就是安全。

由于每一個內外網絡之間的連接都要通過Proxy的介入和轉換，通過專門為特定的服務如Http編寫的安全化的應用程序進行處理，然后由防火墻本身提交請求和應答，沒有給內外網絡的計算機以任何直接會話的機會，從而避免了入侵者使用數據驅動類型的攻擊方式入侵內部網。包過濾類型的防火墻是很難徹底避免這一漏洞的。

代理防火墻的最大缺點就是速度相對比較慢，當用戶對內外網絡網關的吞吐量要求比較高時，（比如要求達到75-100Mbps時）代理防火墻就會成為內外網絡之間的瓶頸。所幸的是，目前用戶接入Internet的速度一般都遠低于這個數字。在現實環境中，要考慮使用包過濾類型防火墻來滿足速度要求的情況，大部分是高速網（ATM或千兆位以太網等）之間的防火墻。

第二代：自適應代理防火墻