什么是防火墙？防火墙是如何工作的？

在你的家用电脑上，有三个软件构成了体面的安全设置的骨干：杀毒软件、防火墙和密码管理器。

在这些软件中，防火墙尽管很重要，但往往是最不被人记住的。防火墙之所以淡出公众视野，是因为Windows、macOS和几乎所有其他主要操作系统都有一个内置的防火墙，所以没有必要去寻找第三方选项。然而，好奇的人们可能会想知道它们是如何工作的，接下来，我们就一起来看看。

 

什么是防火墙？

防火墙是计算机中的一种网络安全系统，它监测和过滤传入和传出的网络流量。防火墙还负责阻止或允许某些数据包进入你的网络。像一堵墙一样，防火墙是你的网络和外部资源之间的一道屏障。

就像杀毒软件一样，防火墙增加了系统的安全性。然而，防火墙与防病毒软件有很大不同。杀毒软件扫描已经存在的文件中的病毒，而防火墙首先防止病毒进入系统。

防火墙的雏形

防火墙一词始于为防止火灾而建造的实际墙壁。今天，这些墙在处理危险材料的建筑物中仍然很常见。如果发生爆炸或火灾，防火墙可以防止火势离开危险区域并殃及结构的其他部分。

该术语在20世纪80年代末被采用，作为描述任何保护系统或网络不受互联网影响的软件或硬件的一种方式。像莫里斯蠕虫这样的恶意软件，是有史以来第一个计算机蠕虫，说明了软件如何利用互联网连接并严重破坏随机目标系统。

因此，精通安全的个人和组织开始研究如何保护自己免受此类恶意软件的影响。而且，像蠕虫和木马这样的恶意软件并没有消失。事实上，全球 WannaCry 勒索蠕虫攻击是现代威胁参与者如何利用旧技术的完美示例。

防火墙是如何工作的？

正如我们之前所确定的，防火墙监控进入你的计算机网络的流量。它们通过在你的网络和互联网之间充当一堵墙来保护你的计算机。防火墙检查数据包的来源，并过滤有害的和授权的网络流量。它们还进行深度数据包检查，以检测可能试图逃避防火墙的恶意流量。

防火墙的类型有哪些？

根据操作模式及其功能，有五种类型的防火墙。 它们包括数据包过滤器、电路网关、应用级网关、状态检查防火墙和下一代防火墙。

1. 数据包过滤器

早期的防火墙只读取数据包头数据，如源地址和目标地址。然后可以根据获得的信息采取相应的行动。这很有效率和快速，但在某些方面可能很脆弱。

例如，欺骗性攻击可以非常有效地对付数据包过滤器。高级版本的数据包过滤器防火墙将数据包保存在内存中，可以根据网络事件改变其行为。这些分别被称为 "有状态 "和 "动态 "防火墙。

2. 电路网关

电路网关不只是处理数据包头数据。它们还试图确保转发数据包的连接是有效的。为了做到这一点，电路网关关注数据包，并寻找变化，如一个不寻常的源IP地址或目标端口。如果一个连接被确定是无效的，它就可以被关闭。这些防火墙还自动拒绝未被防火墙内用户特别要求的信息。

3. 应用级网关(ALG)

这些防火墙与电路网关的属性相同。不过，它们更深入地研究通过防火墙发送的信息，并查看其与特定应用、服务和网站的关系。例如，应用级网关可以查看携带网络流量的数据包，并确定该流量来自哪些网站。然后，如果管理员希望，防火墙可以阻止来自某些网站的数据。

4. 状态检测防火墙

状态检测防火墙监控活动网络连接的状态和特定网络的流量。它还分析传入的数据包、其来源、IP地址和端口，以了解网络威胁和风险。

5. 下一代防火墙(NGFW)

最新类型的防火墙，即下一代防火墙，结合了以前防火墙的所有功能，创建了一个全方位的防火墙，可以监控所有的网络流量，防止内部和外部攻击。

软件防火墙vs.硬件防火墙vs.基于云的防火墙

防火墙也可以根据其结构进行分类。例如，软件防火墙与基于云的防火墙的工作方式不同。

软件防火墙

 

如果你的电脑上安装了防火墙，它是一个软件防火墙--而且很可能是一个应用级防火墙。它将能够控制单个应用程序访问互联网的方式，并在特定或未知的应用程序试图接受或发送信息的时候将其阻止。

你的个人防火墙也是一个软件防火墙。这意味着它的功能是由安装在你的计算机上的代码控制的。这样做的好处是显而易见的--你可以在任何时候轻松改变防火墙的设置，而且你可以在不登录任何独立设备的情况下访问其界面。

然而，软件防火墙可能是脆弱的，因为如果它所安装的系统受到损害，它可以被操纵。例如，如果你的计算机以某种方式感染了恶意软件，尽管你有防火墙和其他安全措施，该恶意软件可能被编程以规避防火墙或改变其设置。由于这个原因，软件防火墙从来都不是完全安全的。

硬件防火墙

为了解决这一漏洞，大型组织通常在软件防火墙之外还使用硬件防火墙。这些防火墙是由拥有自己网络部门的组织使用的，由能够自行嗅出网络指令企图的重型设备组成。通常情况下，它们被专门从事企业级安全解决方案的公司（如思科）作为更大的安全生态系统的一部分来销售。

硬件防火墙通常对家庭用户来说并不实用。但替代方案可能已经存在于你的家中。首先，每个宽带路由器由于其性质而充当了防火墙。路由器在互联网上充当你的计算机的中间人。从互联网发送到你的计算机的连接不会直接发送到它们--它们首先被发送到路由器。然后它决定该信息需要去哪里，如果有的话。如果路由器决定该信息没有被请求，或者该信息被发送到路由器根本没有开放的端口，它就会被放弃。

这就是为什么你有时不得不在路由器中设置端口转发，以使某些游戏能够正常运行。路由器忽略了从游戏服务器进来的数据包。然而，这不是一个真正的防火墙，因为没有检查数据包。相反，它只是路由器功能的一个副作用。

 

如果你想要一个真正的硬件防火墙，你可以以负担得起的价格购买。Cisco和Netgear公司生产的小型企业路由器，是具有内置防火墙功能的小型设备，只为连接少数几台计算机到互联网。这样的设备通常使用包过滤或电路网关的方法，所以它不能轻易被网络PC上的恶意软件规避。

此外，如果你运行一台服务器，基本的硬件防火墙是有用的，因为它可以监测拒绝服务攻击和入侵企图。不要指望你的199美元的防火墙能挡住匿名者，但如果SuCkAz555在你禁止他进入你的Minecraft服务器后感到痛心，它可能会派上用场。

基于云的防火墙

消费者可获得的防火墙类型中最近增加了一个基于云的防火墙。与软件防火墙一样，基于云的防火墙消除了对硬件设备的需求。它们还具有高度的适应性，易于配置。云防火墙运行防火墙即服务的功能，允许你将防火墙的安全性全部或部分转移到云端。

用防火墙保护你的电脑

软件防火墙仍然是保护家庭电脑安全的一个重要部分。如果你只想使用Windows的内置防火墙，那么从XP开始就有了内置防火墙，所有主要的操作系统都有某种形式的集成防火墙。有许多其他的防火墙选项，你可以用来提高你的安全性，但在大多数时候，对于大多数用户来说，集成防火墙将工作得很好。

如果你在路由器后面并有一个软件防火墙，你就能得到合理的保护。你会受到影响的主要方式是如果你下载的恶意软件规避了你的系统，包括你的防火墙。