简述防火墙的作用。

它可通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况， 以此来实现网络的安全保护。
在逻辑上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监控了内部网和Internet之间的任何活动， 保证了内部网络的安全。
2.使用Firewall的益处
保护脆弱的服务
通过过滤不安全的服务，Firewall可以极大地提高网络安全和减少子网中主机的风险。例如， Firewall可以禁止NIS、NFS服务通过，Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机，同时禁止访问另外的主机。例如， Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理，在Firewall定义的安全规则可以运行于整个内部网络系统， 而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法， 而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息，如Figer和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯，提供关于网络使用的统计数据，并且，Firewall可以提供统计数据， 来判断可能的攻击和探测。
策略执行Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时，网络安全取决于每台主机的用户。
3.防火墙的种类
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。
数 据 包 过 滤
数据包过滤(Packet Filtering)技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑， 被称为访问控制表(Access Control Table)。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、 协议状态等因素，或它们的组合来确定是否允许该数据包通过。 数据包过滤防火墙逻辑简单，价格便宜，易于安装和使用， 网络性能和透明性好，它通常安装在路由器上。路由器是内部网络与Internet连接必不可少的设备， 因此在原有网络上增加这样的防火墙几乎不需要任何额外的费用。
数据包过滤防火墙的缺点有二：一是非法访问一旦突破防火墙，即可对主机上的软件和配置漏洞进行攻击; 二是数据包的源地址、目的地址以及IP的端口号都在数据包的头部，很有可能被窃听或假冒。
应 用 级 网 关
应用级网关(Application Level Gateways)是在网络应用层上建立协议过滤和转发功能。 它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、 登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。
数据包过滤和应用网关防火墙有一个共同的特点，就是它们仅仅依靠特定的逻辑判定是否允许数据包通过。 一旦满足逻辑，则防火墙内外的计算机系统建立直接联系， 防火墙外部的用户便有可能直接了解防火墙内部的网络结构和运行状态，这有利于实施非法访问和攻击。
代理服务(Proxy Service)也称链路级网关或TCP通道(Circuit Level Gateways or TCP Tunnels)， 也有人将它归于应用级网关一类。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术， 其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的 链接， 由两个终止代理服务器上的 链接来实现，外部计算机的网络链路只能到达代理服务器， 从而起到了隔离防火墙内外计算机系统的作用。

防火墙的本义原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙，而是指隔离在本地网络与外界网络之间的一道防御系统，是这一类防范措施的总称。应该说，在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。防火墙可以监控进出网络的通信量，从而完成看似不可能的任务；仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据。随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的：一是可以限制他人进入内部网络，过滤掉不安全服务和非法用户；二是防止入侵者接近你的防御设施；三是限定用户访问特殊站点；四是为监视Internet安全提供方便。由于防火墙假设了网络边界和服务，因此更适合于相对独立的网络，例如Intranet等种类相对集中的网络。防火墙正在成为控制对网络系统访问的非常流行的方法。事实上，在Internet上的Web网站中，超过三分之一的Web网站都是由某种形式的防火墙加以保护，这是对黑客防范最严，安全性较强的一种方式，任何关键性的服务器，都建议放在防火墙之后。

.概念：在一个受保护的网络与Internet之间，或与其他的网络之间，用来限制其存取的一个或一组元件，此元件可以是装在一般PC或是Server上的软件或是经过特殊设计的硬件设备。
2.为什麼需要防火墙？

A：Internet防火墙主要是为了防范黑客三种蓄意破坏的方式：

（1）入侵：最常见的破坏方式，入侵后就可以正当使用电脑。入侵者希望自己能变成合法的使用者，任意使用电脑。
（2）拒绝服务：最容易且不直接破坏系统的方式，黑客只要发出如洪水般的垃圾封包就可以瘫痪某部电脑，使得系统无法正常提供服务。

（3）资讯窃盗：黑客窃取使用者的帐号及密码，就可以进入电脑窃取所需的资讯。

3.防火墙能作些什麼？

（1）防火墙是保全决策的重点
防火墙为一个咽喉点，所有进入和出去的传输都必须通过这个狭窄、唯一的检查点，在网路安全防护上，防火墙提供非常大的杠杆效益，因为它把安全措施集中在这个检查点上。

（2）防火墙可以执行保全政策
防火墙强制执行站台的保全政策，只让『核准的』服务通过，而这些服务设定在Policy中。

（3）防火墙能有效率的记录Internet的活动
由於所有的传输都经过防火墙，所以它成为收集系统和网路的使用或误用资讯的最佳地点。

（4）防火墙可以减少网路暴露的危机
防火墙可以使得在防火墙内部的伺服主机与外界网路隔绝，避免有问题的封包影响到内部主机的安全。
4.防火墙无法作些什麼？
（1）防火墙管不到内部恶人
如果恶人已经在防火墙内可以无须接近防火墙，就可以偷窃资料、损坏硬体和软体，并巧妙的修改程式。内部威胁需要内部安全措施，例如机房安全管理措施及人员训练

（2）防火墙管不到不经过它的连线
对於不经过防火墙的传输，防火墙就无法发挥作用。例如某些站台允许直接通到内部主机的拨入存取或是技术及系统管理者会为他们自己设置进入网路的『后门』等。

（3）防火墙无法防范全新的威胁
防火墙的设计是为了防范已知的威胁，一个设计完善的防火墙或许可以防范一些新威胁，如：除了少数可靠的服务外，拒绝一切其他的服务就可以防止使用者设置新的极不安全的服务。

（4）防火墙无法防范病毒
防火墙无法防范PC和Macintosh病毒进入网路，虽然防火墙会就来源位址、目的位址及port号码作扫描，但不是细部资料，且使用最精巧的封包过滤或代理软体对於防火墙而言也不太实际。
（这个有点重复的啊）

简单的说，防火墙防的是外网对内网的攻击
内网的攻击防火墙是无能为力的

1.Internet防火墙

防火墙原是建筑物大厦设计来防止火灾从大厦的一部分传播到另一部分的设施。从理论上讲Internet防火墙服务也属于类似目的。它防止Internet上的危险（病毒、资源盗用等）传播到你的网络内部。而事实上Internet防火墙不象一座现代化大厦中的防火墙，更象北京故宫的护城河。它服务于多个目的：

（1）限制人们从一个特别的控制点进入；

（2）防止侵入者接近你的其它设施；

（3）限定人们从一个特别的点离开；

（4）有效的阻止破坏者对你的计算机系统进行破坏。

因特网防火墙常常被安装在受保护的内部网络连接到因特网的点上。

2.防火墙的优点

（1）防火墙能强化安全策略

因为Internet上每天都有上百万人在那里收集信息、交换信息，不可避免地会出现个别品德不良的人，或违反规则的人，防火墙是为了防止不良现象发生的"交通警察"，它执行站点的安全策略，仅仅容许"认可的"和符合规则的请求通过。

（2）防火墙能有效地记录Internet上的活动

因为所有进出信息都必须通过防火墙，所以防火墙非常适用收集关于系统和网络使用和误用的信息。作为访问的唯一点，防火墙能在被保护的网络和外部网络之间进行记录。

（3）防火墙限制暴露用户点

防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。

（4）防火墙是一个安全策略的检查站

所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、应用网关4个部分组成， 防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的较少，例如国防部以及大型机房等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。 防火墙 英语为firewall...