防火墙的功能是什么？ 防火墙不具备哪些功能！

防火墙：
简单的理解，防火墙是架在两个互相通信主机之间的一个屏障，对非法数据包进行过滤。
我们使用的多数个人防火墙基本具有：防止非法入侵（防止内连） 与 防止本地非法外连 的功能，而SP2系统自带的墙没有后者的功能。
基于这两点，我们可以简单理解防火墙的两个作用：
1：通过阻止非法数据包，防止黑客通过某些手段入侵。
2：防止木马发生外连本地机密信息。个人防火墙没有杀木马的功能，它所做的是在中了木马之后，通过规则禁止其外连以免丢失数据。
现在有不少厂商将自己的杀软和防火墙做成一个网络防护体系，比如：KIS（卡巴） NIS（诺顿） MIS（咖啡）等。。。
HIPS：Host Intrusion Prevent System 主机入侵防御系统
所谓hips（主机入侵防御体系），亦即系统防火墙。它有别于传统意义上的网络防火墙（nips）。二者但主要区别是：传统的nips网络防只有在你使用网络的时候，通过特定的 tcp/ip协议来限定用户访问某一ip地址,或者也可以限制互联网用户访问个人用户和服务器终端；而hips是限制进程调,或者禁止更改或者添加注册表文件。当某进程或者程序试图偷偷运行时，这个行为就会被所hips检测，然后d出警告，询问用户是否允许运行。一般来说,在用户拥有足够进程相关方面知识的情况下,装上一个hips软件能非常有效的防止木马或者病毒的偷偷运行，以防中毒、插马的可能性。
比如卡巴，咖啡等也具备有一些hips的功能,但功能上比不了专业的hips软件。
防火墙不能防病毒！！

1、交换机用来拓展网络数量和划分网络用，还有交换机不同类型功能不同
2、路由器一般是网络的核心设备，主要起到网络数据包的转发和解析
3、服务器一般的网络基本用不到，大部分使用在网吧，企业等等大型网络内
4、防火墙不知道你说的是PC防火墙还是网络防火墙，前者用来防御网络木马等攻击，后者用来应付整个网络的攻击

防火墙的原理是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。

它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问。

对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。

防火墙有两种，硬件防火墙和软件防火墙，都能起到保护作用并筛选出网络上的攻击者。

防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务，包过滤技术是一种简单、有效的安全控制技术。

它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。

包过滤的最大优点是对用户透明，传输性能高。

但由于安全控制层次在网络层、传输层，安全控制的力度也只限于源地址。

目的地址和端口号，因而只能进行较为初步的安全控制，对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段，则无能为力。

扩展资料

防火墙基本特性

1、内部网络和外部网络之间的所有网络数据流都必须经过防火墙

这是防火墙所处网络位置特性，同时也是一个前提。

因为只有当防火墙是内、外部网络之间通信的唯一通道，才可以全面、有效地保护企业网内部网络不受侵害。

根据美国国家安全局制定的《信息保障技术框架》，防火墙适用于用户网络系统的边界，属于用户网络边界的安全保护设备。

所谓网络边界即是采用不同安全策略的两个网络连接处，比如用户网络和互联网之间连接、和其它业务往来单位的网络连接、用户内部网络不同部门之间的连接等。

防火墙的目的就是在网络连接之间建立一个安全控制点，通过允许、拒绝或重新定向经过防火墙的数据流，实现对进、出内部网络的服务和访问的审计和控制。

所有的内、外部网络之间的通信都要经过防火墙。

2、只有符合安全策略的数据流才能通过防火墙

防火墙最基本的功能是确保网络流量的合法性，并在此前提下将网络的流量快速的从一条链路转发到另外的链路上去。

从最早的防火墙模型开始谈起，原始的防火墙是一台“双穴主机”，即具备两个网络接口，同时拥有两个网络层地址。

防火墙将网络上的流量通过相应的网络接口接收上来，按照OSI协议栈的七层结构顺序上传。

在适当的协议层进行访问规则和安全审查，然后将符合通过条件的报文从相应的网络接口送出，而对于那些不符合通过条件的报文则予以阻断。

因此，从这个角度上来说，防火墙是一个类似于桥接或路由器的、多端口的（网络接口>=2）转发设备，它跨接于多个分离的物理网段之间，并在报文转发过程之中完成对报文的审查工作。

参考资料来源：百度百科-防火墙

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

主要功能：

1、入侵检测功能

网络防火墙技术的主要功能之一就是入侵检测功能，主要有反端口扫描、检测拒绝服务工具、检测CGI/IIS服务器入侵、检测木马或者网络蠕虫攻击、检测缓冲区溢出攻击等功能，可以极大程度上减少网络威胁因素的入侵，有效阻挡大多数网络安全攻击。

2、网络地址转换功能

利用防火墙技术可以有效实现内部网络或者外部网络的IP地址转换，可以分为源地址转换和目的地址转换，即SNAT和NAT。

SNAT主要用于隐藏内部网络结构，避免受到来自外部网络的非法访问和恶意攻击，有效缓解地址空间的短缺问题，而DNAT主要用于外网主机访问内网主机，以此避免内部网络被攻击。

3、网络 *** 作的审计监控功能

通过此功能可以有效对系统管理的所有 *** 作以及安全信息进行记录，提供有关网络使用情况的统计数据，方便计算机网络管理以进行信息追踪。

4、强化网络安全服务

防火墙技术管理可以实现集中化的安全管理，将安全系统装配在防火墙上，在信息访问的途径中就可以实现对网络信息安全的监管。

类型

1、过滤型防火墙

过滤型防火墙是在网络层与传输层中，可以基于数据源头的地址以及协议类型等标志特征进行分析，确定是否可以通过。在符合防火墙规定标准之下，满足安全性能以及类型才可以进行信息的传递，而一些不安全的因素则会被防火墙过滤、阻挡。

2、应用代理类型防火墙

应用代理防火墙主要的工作范围就是在OIS的最高层，位于应用层之上。其主要的特征是可以完全隔离网络通信流，通过特定的代理程序就可以实现对应用层的监督与控制。

这两种防火墙是应用较为普遍的防火墙，其他一些防火墙应用效果也较为显著，在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型，这样才可以有效地避免防火墙的外部侵扰等问题的出现。

3、复合型

目前应用较为广泛的防火墙技术当属复合型防火墙技术，综合了包过滤防火墙技术以及应用代理防火墙技术的优点，譬如发过来的安全策略是包过滤策略，那么可以针对报文的报头部分进行访问控制。

如果安全策略是代理策略，就可以针对报文的内容数据进行访问控制，因此复合型防火墙技术综合了其组成部分的优点，同时摒弃了两种防火墙的原有缺点，大大提高了防火墙技术在应用实践中的灵活性和安全性。

扩展资料

具体应用

1、内网中的防火墙技术

防火墙在内网中的设定位置是比较固定的，一般将其设置在服务器的入口处，通过对外部的访问者进行控制，从而达到保护内部网络的作用，而处于内部网络的用户，可以根据自己的需求明确权限规划，使用户可以访问规划内的路径。

总的来说，内网中的防火墙主要起到以下两个作用：一是认证应用，内网中的多项行为具有远程的特点，只有在约束的情况下，通过相关认证才能进行；二是记录访问记录，避免自身的攻击，形成安全策略。

2、外网中的防火墙技术

应用于外网中的防火墙，主要发挥其防范作用，外网在防火墙授权的情况下，才可以进入内网。针对外网布设防火墙时，必须保障全面性，促使外网的所有网络活动均可在防火墙的监视下，如果外网出现非法入侵，防火墙则可主动拒绝为外网提供服务。

基于防火墙的作用下，内网对于外网而言，处于完全封闭的状态，外网无法解析到内网的任何信息。防火墙成为外网进入内网的唯一途径，所以防火墙能够详细记录外网活动，汇总成日志，防火墙通过分析日常日志，判断外网行为是否具有攻击特性。

参考资料来源：百度百科-防火墙

防火墙的概念
防火墙是汽车中一个部件的名称。在汽车中，利用防火墙把乘客和引擎隔开，以便汽车引擎一旦著火，防火墙不但能保护乘客安全，而同时还能让司机继续控制引擎。再电脑术语中，当然就不是这个意思了，我们可以类比来理解，在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。
防火墙的功能
1防火墙是网络安全的屏障：
一个防火墙（作为阻塞点、控制点）能极大地提高一个内部网络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以网络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护网络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部网络。防火墙同时可以保护网络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的报文并通知防火墙管理员。
2防火墙可以强化网络安全策略：
通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将网络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在网络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。
3对网络存取和访问进行监控审计：
如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供网络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的报警，并提供网络是否受到监测和攻击的详细信息。另外，收集一个网络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而网络使用统计对网络需求分析和威胁分析等而言也是非常重要的。
4防止内部信息的外泄：
通过利用防火墙对内部网络的划分，可实现内部网重点网段的隔离，从而限制了局部重点或敏感网络安全问题对全局网络造成的影响。再者，隐私是内部网络非常关心的问题，一个内部网络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部网络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上网，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部网络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。
除了安全作用，防火墙还支持具有Internet服务特性的企业内部网络技术体系（虚拟专用网）。
防火墙的分类
根据网络体系结构来进行分类，可以有以下几种类型的防火墙：
1网络级防火墙
一般是基于源地址和目的地址、应用或协议以及每个IP包的端口来作出通过与否的判断。一个路由器便是一个“传统”的网络级防火墙，大多数的路由器都能通过检查这些信息来决定是否将所收到的包转发，但它不能判断出一个IP包来自何方，去向何处。
先进的网络级防火墙可以判断这一点，它可以提供内部信息以说明所通过的连接状态和一些数据流的内容，把判断的信息同规则表进行比较，在规则表中定义了各种规则来表明是否同意或拒绝包的通过。包过滤防火墙检查每一条规则直至发现包中的信息与某规则相符。如果没有一条规则能符合，防火墙就会使用默认规则，一般情况下，默认规则就是要求防火墙丢弃该包。其次，通过定义基于TCP或UDP数据包的端口号，防火墙能够判断是否允许建立特定的连接，如Telnet、FTP连接。
下面是某一网络级防火墙的访问控制规则：
(1)允许网络2103400使用FTP(21口)访问主机19216811；
(2)允许IP地址为210340207的用户Telnet(23口)到主机19216812上；
(3)允许任何地址的E-mail(25口)进入主机19216815；
(4)允许任何>常用的应用级防火墙已有了相应的代理服务器， 例如： >防火墙主要优点:
（1）防火墙能强化安全策略。
（2）防火墙能有效地记录Internet上的活动。
（3）防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。
（4）防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。
防火墙有十大局限性：
一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。
二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。
三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。
四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。
五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。
六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。
七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。
八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。
九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。
十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。

防火墙起隔离网络的作用
对于工作站来说，不装防火墙一般不会有任何问题。
因为黑客不会傻到花费大量的精力去破解一个没有任何价值的工作站；而是去攻击某个有价值的服务器。
因为服务器通常速度快，而且全天24小时都开着，可以利用它随时做别的事情，如穷举密码、扫描网段等。相当于黑客的傀儡。
这就是通常所说的肉鸡

---