防火墙

hncszz

1.     防火墙就是一个放置在网络路径上的设备，它可以检查、接受或拒绝打算进入网络的数据包。防火墙和传统的路由器最重要的区别是传统路由器会尽可能转发数据包，而防火墙则只转发自己认可的数据包。对数据包的转发决定不再是仅基于地址，而是基于网络所有者配置的一组规则，这些规则可以确定哪些流量类型能被网络所允许。

2.     防火墙可以阻止任何或者所有的外界流量进入网络，但是它并不干涉内部网络中的通信。

3.     当代的防火墙通常是包过技术、状态查看和应用层过滤技术的组合。一些防火墙还可以作为DHCP服务器和网络地址转换工具。防火墙可以是硬件也可以是软件，既可以简单又可以复杂。

4.     最早的防火墙是数据包过滤器。它通过检查数据包来找出该数据包的企图。许多包过滤防火墙会查看封装在传输层报头中的TCP和UDP端口号，可以确定数据包的企图。

5.     防火墙进化过程中，出现了有状态防火墙设备。有状态防火墙不仅仅是单独检查每一个数据包，还会检查数据包包含在哪个通信会话序列中。这种状态敏感性有助于有状态防火墙监视诸如无效数据包、会话劫持企图，以及某些拒绝服务攻击这样的攻击手段。

6.     应用层防火墙是最新一代防火墙。这种防火墙是在TCP/IP应用层工作的，在这里可以更全面地理解与协议和服务相关联的数据包。