防火牆簡介

防火牆
定義 防火牆(英文：firewall)是一項協助確保信息安全的設備，會依照特定的規則，允許或是限制傳輸的數據通過。防火牆可以是一臺專屬的硬件也可以是架設在一般硬件上的一套軟件
一種位於內部網絡與外部網絡之間的網絡安全系統
ICF工作原理 ICF被視爲狀態防火牆，狀態防火牆可監視通過其路徑的所有通訊，並且檢查所處理的每個消息的源和目標地址。爲了防止來自連接公用端的未經請求的通信進入專用端，ICF保留了所有源自ICF計算機的通訊表。在單獨的計算機中，ICF將跟蹤源自該計算機的通信。與ICS一起使用時，ICF將跟蹤所有源自ICF/ICS計算機的通信和所有源自專用網絡計算機的通信。所有Internet傳入通信都會針對於該表中的各項進行比較。只有當表中有匹配項時（這說明通訊交換是從計算機或專用網絡內部開始的），才允許將傳入Internet通信傳送給網絡中的計算機。
源自外部源ICF計算機的通訊（如Internet）將被防火牆阻止，除非在“服務”選項卡上設置允許該通訊通過。ICF不會向你發送活動通知，而是靜態地阻止未經請求的通訊，防止像端口掃描這樣的常見***襲擊
防火牆的種類 從結構上來分，防火牆有兩種：
代理主機結構和路由器+過濾器結構
內部網絡過濾器(Filter)路由器(Router)Internet
從原理上來分，防火牆則可以分成4種類型：
特殊設計的硬件防火牆
數據包過濾型
電路層網關
應用級網關
安全性能高的防火牆系統都是組合運用多種類型防火牆，構築多道防火牆“防禦工事”
吞吐量 網絡中的數據是由一個個數據包組成，防火牆對每個數據包的處理要耗費資源。吞吐量是指在沒有幀丟失的情況下，設備能夠接受的最大速率。其測試方法是：在測試中以一定速率發送一定數量的幀，並計算待測設備傳輸的幀，如果發送的幀與接收的幀數量相等，那麼就將發送速率提高並重新測試；如果接收幀少於發送幀則降低發送速率重新測試，直至得出最終結果。吞吐量測試結果以比特/秒或字節/秒錶示。
　　吞吐量和報文轉發率是關係防火牆應用的主要指標，一般採用FDT(Full Duplex Throughput)來衡量，指64字節數據包的全雙工吞吐量，該指標既包括吞吐量指標也涵蓋了報文轉發率指標。
主要
類型
網絡層防火牆
應用層防火牆
根據側重不同，可分爲：包過濾型防火牆、應用層網關型防火牆、服務器型防火牆。
基本
特性 內部網絡和外部網絡之間的所有網絡數據流都必須經過防火牆
只有符合安全策略的數據流才能通過防火牆
防火牆自身應具有非常強的抗***免疫力
優點 　 （1）防火牆能強化安全策略。
　　（2）防火牆能有效地記錄Internet上的活動。
　　（3）防火牆限制暴露用戶點。防火牆能夠用來隔開網絡中一個網段與另一個網段。這樣，能夠防止影 響一個網段的問題通過整個網絡傳播。
　　（4）防火牆是一個安全策略的檢查站。所有進出的信息都必須通過防火牆，防火牆便成爲安全問題的檢查點，使可疑的訪問被拒絕於門外。-