防火墻技術的概念

防火墻指的是由硬件設備與軟件系統共同構成的，位于外網與內網之間、公共網與專用網之間的保護屏障。簡而言之，防火墻技術就是保護計算機安全的技術。計算機防火墻技術的應用原理是在計算機網絡邊界上設置與網絡系統相適應的通信監控系統，將內網與外網隔離開，防止外網不利信息侵入內網。一般情況下，防火墻包括計算機防火墻與網絡防火墻，其中計算機防火墻就是在計算機外網與計算機之間建立防火墻，屬于用戶計算機的一部分。計算機防火墻能夠對計算機接口規程、傳輸協議以及被傳輸的信息結構等進行檢測，及時剔除不合規定的信息。而網絡防火墻主要是在計算機外網與內網之間設置的防火墻，也可以被稱為篩選路由器。網絡防火墻對進入計算機網絡的信息協議、端口與被傳輸的信息形式、目的地址等進行檢測，可以有效排除不合規定的外部信息。

防火墻技術類型與特點

包過濾型

這種類型的防火墻可在OSI（開放系統互聯）的網絡層與數據傳輸層中運行，其能夠按照相關標志確定是否允許數據包通過，如端口號、網絡通信協議類型以及目的地址等。所有數據包必須滿足防火墻的過濾條件，才能被送達指定的目的地址當中，無法滿足條件的數據包，則會被防火墻自行過濾掉。包過濾型防火墻的結構如圖所示。

在各種類型的防火墻當中，包過濾型是通用性最強、性價比最高且較為有效的一種網絡安全措施。這種類型的防火墻在所有的網絡服務中全部適用，并且絕大部分的路由均具有過濾功能，可在一定程度上滿足網絡用戶的安全需要。包過濾型防火墻的應用優勢非常明顯，即不需要對任何應用程序進行改動。需要注意的是，在對此類防火墻進行應用時，由于部分過濾器中過濾規則的數目是有限的，如果數目超過限制，則會導致過濾器的性能下降，這樣可能會導致一些信息無法被濾除，從而增大了網絡安全隱患。所以，可將包過濾型防火墻與網關進行聯合使用，構成防火墻系統，由此可對計算機網絡進行有效地保護，這種防火墻技術方案在很多企事業單位中被廣泛應用，效果較好。

代理服務型

這種類型的防火墻可在OSI的應用層中運行，應用層作為OSI的最高層，其安全性非常重要。代理服務型防火墻能夠對網絡通信流進行完全阻隔，借助專門的代理程序，可對應用層通信流進行監視和控制，進而達到確保網絡安全的目的。

應用網關：在計算機網絡中，應用網關是代理服務型防火墻較為常見的一種形式，其能夠借助代理技術參與傳輸控制協議的連接。從內網中發出的數據包經應用網關處理后，可對內網的結構進行隱藏。一些網絡專家認為，應用網關是安全性較高的防火墻，代理服務器是它的核心。

自適應代理：隨著代理服務型防火墻的不斷改進和完善，自適應代理隨之出現，并成為一種新型的防火墻，其除了安全性較高之外，還具有較快的速度，在保證安全性的同時，可以大幅度提升代理服務型防火墻的整體性能。動態包過濾和具備自適應能力的代理服務器是自適應代理防火墻的主要組成部分，在這兩個部分之間有同一個控制通道，配置防火墻的過程中，用戶可按照自己的實際需求進行設置，如所需的服，務類型、安全級別等。由于該防火墻采用的是代理機制，從而使內網與外網不能直接進行通信，必須通過代理審核，所以可防止黑客對內網的非法入侵。

屏蔽主機型

這種類型的防火墻最為突出的特點是能夠對主機進行屏蔽，可在接入互聯網的位置處設置具有包過濾功能的主機，以此作為網關，并在其附近設置代理服務器，借助代理功能將服務發給內網的主機。由于存在危險的協議基本都會被網關過濾掉，所以不會對內網的安全造成威脅，這是一種安全控制較為有效的途徑。在具體應用時需要注意的是，應當使更多的協議能通過代理服務器進行代理，以便消除協議中潛在的安全漏洞，進而使防火墻的安全性隨之提升。

防火墻技術的作用

作用一：有助于提升網絡的安全性

在計算機網絡中，通過對防火墻技術的合理運用，能夠使網絡安全獲得進一步提升。設置了防火墻的計算機網絡，可以對各種不安全的信息進行過濾，由此使得網絡環境本身的安全性得到保障。同時借助防火墻可以構建NFS（網絡數據信息系統），該系統能夠為網絡的運行提供保護，可阻止非法用戶對內網的攻擊，從而使內網的安全性獲得顯著提升。

作用二：能夠對訪問對象進行監控

在計算機網絡中設置防火墻后，所有對主機的訪問全都需要通過防火墻的審查，據此判斷訪問對象是否合法。如果防火墻發現訪問對象存在問題，則會發出報警提示，對非法用戶的IP地址進行顯示，并將這些訪問阻攔在網絡之外，避免了網絡安全問題的發生。可見，通過防火墻的監控，可以達到防患于未然的目的。

作用三：可有效避免重要信息外泄

計算機網絡是一個規模非常龐大、結構較為復雜的系統，在整個網絡當中，存在著諸多重要的網段，通過防火墻技術的運用，可以將這些網段進行有效隔離，由此能夠限制內網人員對其中的重要信息進行訪問。很多網絡黑客會利用各種手段對內網進行攻擊，試圖以此來獲取內網的數據信息，而防火墻能使這些惡意攻擊全部失效，避免了網絡信息外泄給用戶帶來的損失。

電腦防火墻怎么設置？

如何保證電腦上網安全，避免遭遇不必要的風險，是其不得不考慮的問題。除了使用各種安全工具保護電腦安全外，其實還使用系統內置的防火墻，無須進行復雜的配置，就可以讓電腦安全地連接外部網絡。這里就使用具體的實例，來說明實現的方法。

將惡意網站拒之門外

在上網瀏覽時，經常有一些惡意或者自己不喜歡的頁面不請自來。為了避免騷擾，可以利用防火墻規則將其拒之門外。例如，不管是電信寬帶，還是聯通寬帶，運行商都會自作聰明地配置錯誤網頁提示功能。當您訪問并不存在網址時，會自動被定向到ISP默認的錯誤頁面中。例如對于某型寬帶來說，當訪問錯誤網址時，會進入某個特定錯誤處理網頁，其中還會夾雜著廣告，讓人不勝其煩。

在CMD窗口中利用Ping命令對“xxxxxxxxxxx.xx.com.cn”網址進行探測（X代表具體網址），得到其真實的IP地址，例如“218.xx.xxx.xx”。在Windows防火墻管理窗口左側點擊“高級設置”項，在高級安全Windows防火墻窗口左側點擊“入站規則”項，在窗口右側的“操作”欄中點擊“新建規則”項，在規則創建向導界面中選擇“自定義”項，在下一步窗口左側點擊“作用域”項，在窗口右側的“此規則應用于哪些本地IP地址”欄中選擇“任何IP地址”項。在“此規則應用于哪些遠程IP地址”欄中選擇“下列IP地址”項，點擊“添加”按鈕，在彈出窗口（上圖）中選擇“此IP地址或子網”項，輸入上述IP地址。在下一步窗口中選擇“阻止連接”項，點擊左側的“配置文件”項，在右側選擇所有項目，包括域、專用、公用等。在下一步窗口中為本規則設置名稱，輸入描述信息。點擊“完成”按鈕，完成本規則創建操作。這樣，當系統試圖訪問禁用的IP后，就會遭到防火墻的攔截，進而避開錯誤網頁的騷擾。當然，按照這種方法，可以限制針對任何IP或者IP地址群的訪問，靈活的避開各種惡意網頁的侵襲。

攔截非法網絡連接

Windows防火墻不僅可以攔截對特定網站的訪問，還可以封鎖任意程序的上網通道，讓其無法連接外部網絡。例如當您發現木馬潛入本機，而殺毒軟件并沒有對其清除，那么該木馬程序很可能經過了免殺處理。為了防止其非法連接外部主機，泄露本機數據，最直接的方法就是切斷其連接的網絡通道。比如您發現名稱為“xxx.exe”的程序藏身到系統目錄中，非法打開了后門，試圖和遠方的黑客建立聯系，就可以按照上述方法，建立一條安全規則。

注意應該選擇“出站規則”項。在規則創建窗口中選擇“自定義”項，在窗口左側選擇“程序”項，在右側窗口中選擇“此程序路徑”項，點擊“瀏覽”按鈕，選擇該木馬程序，例如“c：＼windows＼system32＼xxx.exe”。在下一步窗口左側點擊“操作”項，在右側窗口選擇“阻止連接”項。按照上述方法，選擇所有作用域對象。接著輸入該規則名稱和描述信息，完成該規則的創建操作。這樣，該木馬程序就無法連接外部網絡了。當然，您可以靈活地使用上述方法，對任何程序進行限制，防止其和外界建立網絡通道。

完全掌控電腦聯網權限

在高級安全Windows防火墻窗口右側打開“本地計算機上的高級安全Windows防火墻”項，在其下點擊“屬性”項，在彈出窗口（上圖）中的“域配置文件”面板中的“防火墻狀態”列表中選擇“啟用（推薦）”項，在“入站連接”列表中選擇“阻止所有連接”項，在“出站連接”列表中選擇“阻止”項，之后點擊確定按鈕，就可以切斷進出本機的所有連接，將本機徹底和外界隔離開來。順帶說一句，在這種情況下，即使病毒或者木馬潛入系統，也無法和Internet建立任何連接，接下來您就可以使用安全工具圍捕病毒了。當然，為了僅僅讓指定的程序連接網絡，我們必須在此基礎上對System和DNS兩大系統對象開放網絡連接才行。

按照上述方法，在“出站規則”模塊中新建一個新規則，在規則創建向導窗口中選擇“程序”項，在下一步窗口中選擇“此程序路徑”項，在其下直接輸入“System”，在下一步窗口中選擇“允許連接”項，之后輸入該規則名稱和描述信息，完成規則創建操作。

提起DNS，大家都不會陌生，利用DNS域名解析功能，可以輕松完成域名和IP的轉換，加快網絡訪問速度。因為DNS是網絡訪問的基石，所以應該放行DNS服務。可以按照上述方法，在“出站規則”模塊中新建一個新規則，在規則創建向導窗口中選擇“自定義”項，在下一步窗口中選擇“此程序路徑”項，在其下點擊“瀏覽”按鈕，選擇“C：＼Windows＼System32＼Svchost.exe”程序。在下一步窗口中的“協議類型”列表中選擇“UDP”項，在“本地端口”列表中選擇“特定端口”項，在其下輸入“1024～65536”。表示允許其使用本地端口的范圍為1024～65536。在“遠程端口”列表中選擇“特定端口”項，在其下輸入端口號53。依次點擊下一步按鈕，配置均采用默認設置。注意，在“配置文件”窗口中可以根據實際需要，選擇公用或者專用類型。輸入規則名稱和描述信息，來創建該規則。

完成以上操作后，電腦就不再處于網絡孤島狀態，具有了最基本的網絡連接能力。接下來就可以為特定的程序開放網絡連接特權了。這里以開放IE瀏覽器網絡訪問特權為例，介紹具體的實現方法。按照上述方法，在“出站規則”模塊中創建一條新規則，在向導界面中選擇“自定義”項，在下一步窗口（圖3）中選擇“此路徑程序”項，點擊“瀏覽”按鈕，選擇IE主程序路徑，例如“C：＼Program？Files＼InternetExplorer＼iexplorer.exe”。

在下一步窗口中的“協議類型”列表中選擇“TCP”項，在“本地端口”列表中選擇“特定端口”項，在其下輸入“1024～65536”。在“遠程端口”列表中選擇“特定端口”項，在其下輸入端口號53。這表示允許IE使用本機的TCP端口（范圍為1024～65536）訪問任意目標主機的80端口，實現正常的網頁瀏覽操作。依次點擊“下一步”按鈕，使用默認的配置參數即可。在“配置文件”窗口中可以根據實際需要，選擇公用或者專用類型，之后輸入本規則的名稱和描述信息，完成規則創建操作。使用了該規則后，IE就可以自動訪問網絡了。當然，您可以根據實際需要，有選擇地開放所需程序的網絡訪問權限，創建相應規則的方法與上述完全相同。