防火墙的定义是什么？ [技术解释]

自从将计算机联网在一起的想法出现以来，直接在计算机之间（而不是运动鞋网络）之间传输数据就带来了许多问题，包括安全漏洞。一个非常简单的解释是将防火墙的概念与网守或俱乐部保镖联系起来。防火墙本质上是一种软件，可以扫描传入和传出的流量（数据包）以查找恶意行为的明显迹象。

在允许另一台计算机连接到您的计算机（或相反的计算机）之前，防火墙比较接收到的有关通信类型（例如协议，网络/应用层，源IP）的不同信息，并将其与其编程中的规则列表进行比较。如果满足规则，则通信将继续，并在两台计算机之间进行传输。两台计算机都需要彼此接受传输才能进行交换。

根据防火墙的运行级别，规则执行的类型有所不同。更高级别的防火墙更安全，更灵活，但缺点是使用更多的CPU周期并大大降低流量。

第一种类型是数据包筛选器。此方法仅查看单个数据包，并分析其标头信息。这种类型的筛选仅对使用标准端口的TCP和UDP通信有效。第二种类型识别应用程序的类型，并可以检测对协议的滥用或非标准端口上偷偷摸摸的协议。第三种类型称为“状态数据包检查"，可以区分一系列数据包。数据包可以是新的连接请求，现有连接的一部分或无效的数据包。使用状态数据包检查可以更好地管理DDoS漏洞。

防火墙在Internet上得到广泛使用，因为网络之间存在不同级别的信任。例如，您可以在家庭路由器中设置防火墙，以阻止WAN流量流向您的网络共享。您需要执行此操作，因为它可以保护您在家庭网络上共享的文件免受在广域网（WAN）（通常由本地ISP网络集线器代表）上被发现和查看的影响。防火墙的黄金法则是“什么都不会进来，没有什么秘密可以解决"。

Most SOHO (small office home office) firewalls have graphical interfaces and are fairly easy to configure. However, most of them are never customised to the particular requirements of the network and rely on the default rulesets. Hackers exploit this oversight, by probing for vulnerabilities in the ruleset or programming. Firewalls are present in all major operating systems (Windows, Mac, Linux) by default. A large proportion of networking equipment also integrates some sort of firewall software, most notably routers. For more important assets, external “hardware firewalls” can provide better security and reduce the performance loss by using dedicated memory and processing power.

您可能还想查看PCPC.me网络手册《计算机网络简易指南》 [PDF]。