什么是防火墻？

過去寫過那么多服務器管理和服務器防御的文章，里面多涵蓋了“服務器防火墻”這一詞，相信每位朋友的電腦多安裝或者打開過——服務器防火墻。或者說當你在電腦上安裝軟件后，想要打開卻收到一個彈窗，對話框提示連接失敗，請檢查您的網絡防火墻。沒錯，這就是我們所說的服務器防火墻。和高防服務器一樣，單說防防御，服務器防火墻是用來保護我們服務器機密數據的一道防線。

一、服務器防火墻的作用

①防火墻是保護網站的工具：入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。防火墻同時可以保護網絡免受基于路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火墻應該可以拒絕所有以上類型攻擊的報文并通知防火墻管理員。

②防止內部信息的外泄：通過利用防火墻對內部網絡的劃分，實現重點網段隔離，限制局部重點或敏感網絡安全問題對全局網絡造成的影響。避免暴漏了內部網絡的某些安全漏洞。使用防火墻就可以隱蔽那些透漏內部細節如Finger，DNS，用戶的注冊名、真名，最后登錄時間和使用shell類型等。防火墻可以同樣阻塞有關內部網絡中的DNS信息。

③服務器防火墻能記錄下這些訪問并作出日志記錄，同時也能提供網絡使用情況的統計數據：當發生可疑動作時，防火墻能進行適當的報警，并提供網絡是否受到監測和攻擊的詳細信息。另外，收集一個網絡的使用和誤用情況可以清楚防火墻是否能夠抵擋攻擊者的探測和攻擊，并且清楚防火墻的控制是否充足。

④服務器防火墻具有Internet服務特性的企業內部網絡技術體系VPN(虛擬專用網)。

防火墻的是目前一種最重要的網絡防護設備。從專業角度講，防火墻是位于兩個(或多個)網絡間，實施網絡之間訪問控制的一組組件集合。防火墻可以強化網絡安全策略：通過以防火墻為中心的安全方案配置，能將所有安全軟件(如口令、加密、身份認證、審計等)配置在防火墻上。與將網絡安全問題分散到各個主機上相比，集中安全管理更經濟。在網絡訪問時，一次一密口令系統和其它的身份認證系統可以不必分散，可以集中在防火墻一身上。

二、以下是兩種常見的服務器防火墻:

網絡層防火墻和 應用層防火墻。 這兩類型防火墻也許重疊; 的確, 單一系統會兩個一起實施。網絡層防火墻可視為一種 IP 封包過濾器，運作在底層的 TCP/IP

協議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其余的一概禁止穿越防火墻。這些規則通常可以經由管理員定義或修改，不過某些防火墻設備可能只能套用內置的規則。我們也能以另一種較寬松的角度來制定防火墻規則，只要封包不符合任何一項“否定規則”就予以放行。現在的操作系統及網絡設備大多已內置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 WWW 或是FTP)。也能經由通信協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

應用層防火墻

應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作，您使用瀏覽器時所產生的數據流或是使用 FTP時的數據流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數據流進到受保護的機器里。

防火墻借由監測所有的封包并找出不符規則的內容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現而言，這個方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會考慮以這種方法設計。

XML 防火墻是一種新型態的應用層防火墻。

三、高防服務器防火墻的性能指標：

1、吞吐量：服務器防火墻能同時處理的最大數據量;衡量標準，吞吐量越大，性能越高。

2、時延：數據包的第一個比特進入服務器防火墻到最后一個比特輸出服務器防火墻的時間間隔指標，衡量標準：延時越小，性能越高。

3、丟包率：在連續負載的情況下，服務器防火墻由于資源不足，應轉發但是未轉發的百分比;衡量標準：丟包率越小，服務器防火墻的性能越高。

4、背靠背：緩存，主要是指防火墻緩沖容量的大小。網絡上常會出現一些突發的大流量(例如：NFS，備份，路由更新等)，而且這樣的數據包的丟失可能會產生更多的數據包丟失。強大的緩沖能力可以減小對這種突發網絡情況造成的影響。

5、并發連接數：訪問量，并發連接數指標越大，抗攻擊能力也越強

總結 ：建設防火墻需要仔細的選擇和配置一個解決方案來滿足你的需求，然后不斷的去維護它。需要做很多的決定，對一個站點是正確的解決方案往往對另外站點來說是錯誤的。并不要指望防火墻靠自身就能夠給予你安全。防火墻保護你免受一類攻擊的威脅，但是卻不能防止從LAN內部的攻擊，它甚至不能保護你免受所有那些它能檢測到的攻擊。做好最壞的心理準備。

最后提醒大家，防火墻不是萬能的,對一些新出現的病毒和木馬可能沒有反映,要時常的更新.機器可能會停止運行，有惡意動機的用戶可能做壞的事情并成功的打敗你。但是你可以選擇互聯數據，知名度高、口碑好，以硬軟件構建服務器防火墻，針對DDoS攻擊的防御體系，能有效應對DOSS攻擊，做好事前安全、事中抵抗、事后分析，然后分析總結出結論后，再進行下一輪的事情安全循環。