防火牆阻隔什麼網路

防火牆（Firewall）是指一個由軟體或硬體裝置組合而成，處於企業或網路群體電腦與外界通道之間，用來加強因特網與內部網之間安全防範的一個或一組系統。它控制網路內外的資訊交流，提供接入控制和審查跟蹤，是一種訪問控制機制。

一般防火牆具備以下特點：

廣泛的服務支援。通過將動態的、應用層的過濾能力和認證相結合，可實現WWW瀏覽、HTIP服務、FIP服務等通過對專用資料的加密支援，保證通過Internet進行的虛擬專用網商務活動不受破壞客戶端認證只允許指定的使用者訪問內部網路或選擇服務，是企業本地網與分支機構、商業夥伴和移動使用者間安全通訊的附加部分反欺騙。欺騙是從外部獲取網路訪問權的常用手段，它使資料包好象來自網路內部。防火牆能監視這樣的資料包並能扔掉它們。

防火牆的設定有兩條原則：一是“凡是未被准許的就是禁止的”。另一條策略與此正好相反，它堅持“凡是未被禁止的就是允許的”。防火牆先是轉發所有的資訊，起初這堵牆幾乎不起作用，如同虛設然後再逐項剔除有害的內容，被禁止的內容越多，防火牆的作用就越大。在此策略下，網路的靈活性得到完整地保留。但是就怕漏過的資訊太多，使安全風險加大，並且網路管理者往往疲於奔命，工作量增大。

正因為安全領域中有許多變動的因素，所以安全策略的制定不應建立在靜態的基礎上。在制定防火牆安全規則時，應符合“可適應性的安全管理”模型的原則，即：

安全=風險分析＋執行策略＋系統實施＋漏洞監測＋實時響應從而滿足綜合性與整體性相結合的要求。

現有的防火牆技術主要有兩大類：資料包過濾技術和代理服務技術。第一類是資料包過濾技術（PacketFilter）。它是在網路層對資料包實施有選擇的放行。第二類是代理服務技術（ProXyService）。這是一種基於代理伺服器的防火牆技術，通常由兩部分構成--客戶與代理伺服器連線，代理伺服器再與外部伺服器連線，而內部網路與外部網路之間沒有直接的連線關係。

防火牆是有其侷限性的：

防火牆不能防止繞過防火牆的攻擊。比如，一個企業內聯網設定了防火牆，但是該網路的一個使用者基於某種理由另外直接與網路的服務提供商連線，繞過了企業內聯網的保護，為該網留下了一個供人攻擊的後門，成了一個潛在的安全隱患。

防火牆經不起人為因素的攻擊。由於防火牆對網路安全實施單點挖掘，因此可能受到黑客們的攻擊。像企業內聯網由於管理原因造成的人為破壞，防火牆是無能為力的。

防火牆不能保證資料的祕密性，不能對資料進行鑑別，也不能保證網路不受病毒的攻擊。任何防火牆不可能對通過的資料流中每一個檔案進行掃描檢查病毒。

目前市場上很多流行的安全裝置都屬於靜態安全技術範疇，如防火牆和系統外殼等外圍保護裝置。外圍保護裝置針對的是來自系統外部的攻擊，一旦外部侵入者進入了系統，他們便不受任何阻擋。認證手段也與此類似，一旦侵入者騙過了認證系統，那麼侵入者便成為系統的內部人員。傳統防火牆的缺點在於無法做到安全與速度同步提高，一旦考慮到安全因素而對網路資料流量進行深入檢測和分析，那麼網路傳輸速度勢必受到影響。

靜態安全技術的缺點是需要人工來實施和維護，不能主動跟蹤侵入者。傳統的防火牆產品就是典型的這類產品。其高昂的維護費用和對網路效能的影響，任何人都無法迴避。系統管理員需要專門的安全分析軟體和技術來確定防火牆是否受到攻擊。

針對靜態安全技術的不足，許多世界網路安全和管理專家都提出了各自的解決方案，如NAI為傳統的防火牆技術做出了重要的補充和強化，其最新的防火牆系統GauntletFirewa113.0forwindowsNT包含了NAI技術專家多年來的研究成果“自適應代理技術”等。