网络防火墙可以防止内部的攻击吗？

防火墙的功能要看它怎么设置。
如果它设置的好，除了必须的应用，其他任何应用都可以阻挡，包括内网的。如果设置不好，装了防火墙，也无济于事。
防火墙就像一栋大楼的很多门，你将相应的门开，相应的关，保证正常工作，又防止非法侵入。但如果你什么门都开，防火墙形同虚设。如果什么都关，没人可以进来也没法办事。
防火墙区别在于网络层级别不同，防护原理和级别不同，其他基本都一样。

网络内外交接处，设置端口转发，22112100100：80 to 101020100:80
防火墙要开放到101020100口80（web的默认口）
注意，你使用80，可能根本就被拦截的，因为ZF控制了，你可以改用比如8080,(8000都不可)

分类: 电脑/网络 >> 互联网
问题描述:

是这样的一个家庭网络环境：有5台电脑，都通过一个路由器和外界网络相连，路由器上开放了自带的防

火墙，然后每台电脑自身的XP系统也开了防火墙，问题就出来了。

1。原来看到很多书上都说，如果是上述的那样居域网环境，只用开放网关设备的防火墙就行了，把内部

机器系统自身的防火墙全部都关闭，可以避免数据传输冲突问题。这是书上的说法，现实中我有很多搞
网络的朋友说：虽然那样的确是有利于数据和连接，但是一旦冲破了第一道路由器的防火墙，里面的机器

也就暴露无疑了。。。最好还是在网关路由器开放防火墙的情况下，每台机器还是开放各自的系统防火墙

，可以起到类似于“分布式防火墙”的作用。。。只是在端口和传输配置上要精通许多而已。。说到这里

我就有问题了，这样做的话，岂不是和一些杂志上说的道理相悖？请高手们赐教一下。。

2。有的说XP SP2自带的防火墙好，有的说瑞星2006的防火墙好。。。到底在系统中应该取舍哪一个呢？

如果选择瑞星杀毒软件中的防火墙，和上问中的网关路由器防火墙搭配使用会有不会有问题？

解析:

电脑上安装软件防火墙不会和路由器上的防火墙冲突，最多就是检测两次，一般你要是用路由器上的防火墙，电脑上就不用安装防火墙了，再说 别人能突破你宽带路由器的概率很小（你中了木马除外）。

通常防火墙定义为安全区，一般为：trust、untrust、dmz三种安全区。但这并不意味着三个区域，因防火墙具有多个端口，每个端口都可自定义安全区，这就意味着具备多个安全区。举个例子，你有两条互联网链路（联通和电信），这就是两个untrust区，内网服务器接入dmz区，局域网接入防火墙两个端口，分别为19216810和19216820，这就是两个trust区，这样划分下来一共就有5个区域了。可分别创建不同安全区之间的策略，这么说能明白吗？

首选受到攻击不是防火墙就能解决的。
第一、防火墙只是辅助软件，并不智能。不能分别出是访问者还是攻击者，只能一味拒绝。并不是好的东西，除非有些产品能防DDOS攻击的。
第二、受攻击分2种，DDOS（拒绝服务式攻击）一种是脚本攻击。如果你安装的网站版本存在漏洞，哪么可以是从脚本攻击。比如最最常见的SQL注入。
如一个查询数据库的SQL语句如下
"Select From [User] Where [ID]="&ID
如果这个ID变量值没有经过一些处理和验证，并过滤掉一些非法字符哪么会存在所谓的脚本攻击
比如abcaspID=2
我们改成
abcaspID=2'
这样ID就成了 2'而在SQL查询中的'单引号是字符串识别，现在就是等于2后面有个字符串，可是要2个单引中间才是字符串，现在只有一个单引所以会提示未关闭的单引号错误。
利用起来就是
abcaspID=2%20And%201>=(Select%20Top%201%20From%20Admin)
这样SQL句语变成了
Select From [User] Where [ID]=2 And 1>=(Select Top 1 From Admin)
这样攻击者就可以取得是否存在Admin这个表。如果存在可进一步猜解密码。
详细的SQL注入请自行搜索
上传漏洞～
很多上传程序没检查文件名，变成了所有类型都可上传，攻击者上传一个ASP木马，对服务器进行安全探测，如果服务器安全设置简单，哪么可以取得服务器的最高权限，即为管理员权限。
或是有些上传的程序检查文件名不严格，通过欺骗上传到ASP木马，一样有危险。
解决是添加SQL防注入，上传的检查文件名要严格，不允许ASP、ASA、CER、CDX等文件上传。如果主机支持ASPNET也要禁掉ASPX、ASAX这样的ASPNET文件名
添加防DDOS防火墙。
设置服务器安全
基本完成～

---