[其他] 防火墙

在电脑运算领域中，防火墙是一项协助确保信息安全的设备，会依照特定的规则，允许或是限制传输的数据通过。防火墙可能是一台专属的硬件或是架设在一般硬件上。
防火墙最基本的功能就是隔离网络，通过将网络划分成不同的区域(通常情况下成为ZONE),指定出不同区域之间的访问控制策略来控制不同信任程度区域间传送的数据流。
例如互联网是不可信任的区域，而内部网络是高度信任的区域。
最终目标是根据最少特权原则，在不同水平的信任区域，通过安全政策的运行，提供受控联通性。

针对普通用户的个人防火墙，通常是在一台电脑上具有数据包过滤功能的软件。而专业的防火墙通常为网络设备，或是拥有2个以上网络界面的电脑。

                 

                

一、防火墙类型
1.1 网络层防火墙
网络层防火墙可视为一种IP数据包过滤器，运作在底层的TCP/IP协议栈上。
可以以枚举的方式，只允许符合特定规则的数据包通过，其余的一概禁止穿越防火墙。
也能以另一种较宽松的角度来制定防火墙规则，只要数据包不符合任何一项“否定规则”就予以放行。
较新的防火墙能利用数据包的多样属性来进行过滤，例如，源IP,源端口，目的IP，目的端口，服务类型。
也能经由通讯协议、TTL值、来源的域名或网段等属性来进行过滤。

1.2 应用层防火墙
应用层防火墙是在TCP/IP堆栈的"应用层"上运作，应用层防火墙可以拦截进出某应用程序的所有数据包，并且封锁其他的数据包(通常是直接将数据包丢弃)

1.3 数据库防火墙
根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御，实现SQL危险操作的主动预防、实时审计。
数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。

二、防火墙架构
2.1 主机型防火墙
此防火墙需有两张网卡，一张与互联网连接，另一张与内部网连接，如此互联网与内部网的通道无法直接接通，所有数据包都需要通过主机发送。
2.2 双闸型防火墙
此防火墙除了主机型防火墙的两张网卡外，另安装应用服务转送器的软件，所有网络数据包都须经过此软件检查，此软件将过滤掉不被系统所允许的数据包。

缺点：
1.网络交通的瓶颈：攻击者不断寄出数据包，让防火墙疲于过滤数据包，而使一些合法数据包无法正常进出防火墙。
2.无法过滤内部网络的数据包，若有人从内部网络攻击时，防火墙没有作用。
3.攻击者可利用操作系统本身的漏洞绕过防火墙，从而入侵电脑。
4.防火墙无法有效阻挡病毒攻击，尤其是隐藏在数据中的病毒。