防火牆（也稱防護牆）？？？——》一種位於內部網路與外部網路之間的網路安全系統；

背景？？？——》由Check Point創立者Gil Shwed於1993年發明國際網際網路並引入(US5606668(A)1993-12-15)；

注意：

一項的資訊保安防護系統，依照特定的規則，允許或是傳輸的限制資料通過；

特定的規則之一？？？——》信任內網，不信任外網；

基本特性：？？？——》

1. 通過防火牆？？？——》只有符合安全策略的資料流；
2. 內部網路和外部網路之間的所有網路資料流都必須經過防火牆；
3. 防火牆最基本的功能？？？——》確保網路流量的合法性，並在此前提下將“網路的流量”快速的從一條鏈路轉發到另外的鏈路上去；
4. 防火牆自身應具有非常強的抗攻擊免疫力；

工作原理：？？？——》

1. 防火牆的工作方式基本一樣？？？——》分析出入防火牆的資料包，決定放行還是把他們扔到一邊；
2. 所有的防火牆都具有IP地址過濾功能；？？？——》檢查IP包頭，根據其IP源地址和目標地址作出放行/丟棄決定；

上面第一張圖？？？——》兩個網段之間隔了一個防火牆，防火牆的一端有臺UNIX計算機，另一邊的網段則擺了一臺PC客戶機；

上面第二張圖上？？？——》

1. 當PC客戶機向UNIX計算機發起telnet請求時，PC的“telnet客戶程式”就產生一個TCP包
   並把它傳給本地的協議棧準備傳送;
2. 接下來，協議棧將這個TCP包“塞”到一個IP包裡，然後通過PC機的TCP/IP棧所定義的路徑將它傳送給UNIX計算機。在這個例子裡，這個IP包必須經過橫在PC和UNIX計算機中的防火牆才能到達UNIX計算機；

注意：

我們可以“命令”（用專業術語來說就是配製）防火牆把所有發給UNIX計算機的資料包都給拒了；？？？——》既然發向目標的IP資料沒法轉發，那麼只有和UNIX計算機在同一個網段的使用者才能訪問UNIX計算機了；

還有一種情況，你可以命令防火牆專給那臺可憐的PC機找茬，別人的資料包都讓過就它不行；

這正是防火牆最基本的功能：根據IP地址做轉發判斷；但要上了大場面這種小伎倆就玩不轉了，由於黑客們可以採用IP地址欺騙技術，偽裝成合法地址的計算機就可以穿越信任這個地址的防火牆了。不過根據地址的轉發決策機制還是最基本和必需的。另外要注意的一點是，不要用DNS主機名建立過濾表，對DNS的偽造比IP地址欺騙要容易多了；

防火牆優點：

（1）防火牆能強化安全策略；

（2）防火牆能有效地記錄Internet上的活動；

（3）防火牆限制暴露使用者點；防火牆能夠用來隔開網路中一個網段與另一個網段；這樣，能夠防止影響一個網段的問題通過整個網路傳播；

（4）防火牆是一個安全策略的檢查站；所有進出的資訊都必須通過防火牆，防火牆便成為安全問題的檢查點，使可疑的訪問被拒絕於門外；

注意：

根據側重不同，防火牆可分為：包過濾型防火牆、應用層閘道器型防火牆、伺服器型防火牆；

網路邊界：採用不同安全策略的兩個網路連線處；比如使用者網路和網際網路之間連線、和其它業務往來單位的網路連線、使用者內部網路不同部門之間的連線等；

大家給個贊，就是給我最大的鼓勵！！！

注意：“贊”位於右上角；