防火墙在哪里

防火墙这个词相信大家听得也很多，但是防火墙在哪里呢？今天我们就来了解下这个问题。

防火墙定义

所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。
 
在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙作用

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

防火墙一般安装在哪里

防火墙安装后的位置：双击打开“我的电脑”→控制面板→安全中心——Windows 防火墙(如下图1、2、3)

 
　　                                        (图1)
 
 
　　                                          (图2)

 
　                                   　 (图3)

一般情况下从防火墙的软、硬件形式来分，防火墙可以分为软件防火墙、硬件防火墙以及芯片级防火墙。
 
第一种：芯片级防火墙

芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。

第二种：软件防火墙

软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。

第三种：硬件防火墙

这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。

传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。

第一要素：防火墙的基本功能

防火墙系统可以说是网络的第一道防线，因此一个企业在决定使用防火墙保护内部网络的安全时，它首先需要了解一个防火墙系统应具备的基本功能，这是用户选择防火墙产品的依据和前提。一个成功的防火墙产品应该具有下述基本功能：

防火墙的设计策略应遵循安全防范的基本原则——“除非明确允许，否则就禁止”； 防火墙本身支持安全策略，而不是添加上去的；如果组织机构的安全策略发生改变，可以加入新的服务；有先进的认证手段或有挂钩程序，可以安装先进的认证方法；如果需要，可以运用过滤技术允许和禁止服务；可以使用FTP和Telnet等服务代理，以便先进的认证手段可以被安装和运行在防火墙上；拥有界面友好、易于编程的IP过滤语言，并可以根据数据包的性质进行包过滤，数据包的性质有目标和源IP地址、协议类型、源和目的TCP/UDP端口、TCP包的ACK位、出站和入站网络接口等。

如果用户需要NNTP（网络消息传输协议）、XWindow、HTTP和Gopher等服务，防火墙应该包含相应的代理服务程序。防火墙也应具有集中邮件的功能，以减少SMTP服务器和外界服务器的直接连接，并可以集中处理整个站点的电子邮件。防火墙应允许公众对站点的访问，应把信息服务器和其他内部服务器分开。

防火墙应该能够集中和过滤拨入访问，并可以记录网络流量和可疑的活动。此外，为了使日志具有可读性，防火墙应具有精简日志的能力。虽然没有必要让防火墙的操作系统和公司内部使用的操作系统一样，但在防火墙上运行一个管理员熟悉的操作系统会使管理变得简单。防火墙的强度和正确性应该可被验证，设计尽量简单，以便管理员理解和维护。防火墙和相应的操作系统应该用补丁程序进行升级且升级必须定期进行。

正像前面提到的那样，Internet每时每刻都在发生着变化，新的易攻击点随时可能会产生。当新的危险出现时，新的服务和升级工作可能会对防火墙的安装产生潜在的阻力，因此防火墙的可适应性是很重要的。
 
第二要素：与用户网络结合

1、自身的安全性

大多数人在选择防火墙时都将注意力放在防火墙如何控制连接以及防火墙支持多少种服务，但往往忽略了一点，防火墙也是网络上的主机之一，也可能存在安全问题，防火墙如果不能确保自身安全，则防火墙的控制功能再强，也终究不能完全保护内部网络。

大部分防火墙都安装在一般的操作系统上，如Unix、NT系统等。在防火墙主机上执行的除了防火墙软件外，所有的程序、系统核心，也大多来自于操作系统本身的原有程序。当防火墙主机上所执行的软件出现安全漏洞时，防火墙本身也将受到威胁。此时，任何的防火墙控制机制都可能失效，因为当一个黑客取得了防火墙上的控制权以后，黑客几乎可为所欲为地修改防火墙上的访问规则，进而侵入更多的系统。因此防火墙自身应有相当高的安全保护。

2、管理的难易度

防火墙管理的难易度是防火墙能否达到目的的主要考虑因素之一。一般企业之所以很少以已有的网络设备直接当作防火墙的原因，除了先前提到的包过滤，并不能达到完全的控制之外，设定工作困难、须具备完整的知识以及不易除错等管理问题，更是一般企业不愿意使用的主要原因。

3、完善的售后服务

我们认为，用户在选购防火墙产品时，除了从以上的功能特点考虑之外，还应该注意好的防火墙应该是企业整体网络的保护者，并能弥补其它操作系统的不足，使操作系统的安全性不会对企业网络的整体安全造成影响。防火墙应该能够支持多种平台，因为使用者才是完全的控制者，而使用者的平台往往是多种多样的，它们应选择一套符合现有环境需求的防火墙产品。由于新产品的出现，就会有人研究新的破解方法，所以好的防火墙产品应拥有完善及时的售后服务体系。

4、完整的安全检查

好的防火墙还应该向使用者提供完整的安全检查功能，但是一个安全的网络仍必须依靠使用者的观察及改进，因为防火墙并不能有效地杜绝所有的恶意封包，企业想要达到真正的安全仍然需要内部人员不断记录、改进、追踪。防火墙可以限制唯有合法的使用者才能进行连接，但是否存在利用合法掩护非法的情形仍需依靠管理者来发现。

5、结合用户情况

在选购一个防火墙时，用户应该从自身考虑以下的因素：
网络受威胁的程度；
若入侵者闯入网络，将要受到的潜在的损失；
其他已经用来保护网络及其资源的安全措施；
由于硬件或软件失效，或防火墙遭到“拒绝服务攻击”，而导致用户不能访问Internet，造成的整个机构的损失；
机构所希望提供给Internet的服务，希望能从Internet得到的服务以及可以同时通过防火墙的用户数目；
网络是否有经验丰富的管理员； 今后可能的要求，如要求增加通过防火墙的网络活动或要求新的Internet服务。
防网络攻击的（我的简单解释），如果想知道详细的，你可以在百度里面搜索“防火墙的用途”。

第三要素：企业的特殊要求

企业安全政策中往往有些特殊需求不是每一个防火墙都会提供的，这方面常会成为选择防火墙的考虑因素之一，常见的需求如下：

1、特殊控制需求

有时候企业会有特别的控制需求，如限制特定使用者才能发送Email，FTP只能下载文件不能上传文件，限制同时上网人数，限制使用时间或阻塞Java、ActiveX控件等，依需求不同而定。

2、网络地址转换功能(NAT)

进行地址转换有两个好处：其一是隐藏内部网络真正的IP，这可以使黑客无法直接攻击内部网络，这也是笔者之所以要强调防火墙自身安全性问题的主要原因；另一个好处是可以让内部使用保留的IP，这对许多IP不足的企业是有益的。

3、双重DNS

当内部网络使用没有注册的IP地址，或是防火墙进行IP转换时，DNS也必须经过转换，因为，同样的一个主机在内部的IP与给予外界的IP将会不同，有的防火墙会提供双重DNS，有的则必须在不同主机上各安装一个DNS。

4、虚拟专用网络(VPN)

VPN可以在防火墙与防火墙或移动的客户端之间对所有网络传输的内容加密，建立一个虚拟通道，让两者感觉是在同一个网络上，可以安全且不受拘束地互相存取。

5、扫毒功能

大部分防火墙都可以与防病毒软件搭配实现扫毒功能，有的防火墙则可以直接集成扫毒功能，差别只是扫毒工作是由防火墙完成，或是由另一台专用的计算机完成。

目前，防火墙技术已经引起了人们的注意，随着新技术的发展，混合使用包过滤技术、代理服务技术和其它一些新技术的防火墙正向我们走来。