编者按在短短的几年里，防火墙的功能重心从网络层发展到了应用层。本文阐述了这种变迁的技术背景，以及未来的防火墙技术走向。　　　　应用层攻击挑战传统防火墙　　　　最近两年来，攻击者的兴趣明显从端口扫描和制造拒绝服务攻击（DoSAttack）转向了针对Web、E-mail甚至数据库等主流应用的攻击。传统的防火墙仅仅检查IP数据包的包头，而忽略了内容——如果用信件来做比喻，也就是只检查了信封而没有检查信纸。因此对这类应用层的攻击无能为力。可以说，仅仅靠第三层和第四层的IP地址和协议端口过滤的防火墙产品早已走到了尽头。　　　　战火烧向七层　　　　为了对抗应用层（OSI...

   如今网络防火墙已经成为了各位网友上网，但是又有对少人能让他的网络防火墙真正发挥他的作用呢？      许多人对于网络防火墙的功能不加以设置，对网络防火墙的规则不加以设置——这样，网络防火墙作用就会大大减弱……   网络防火墙的默认设置一般都只能是普遍的设置，也就是说这样的设置要大致适合成千上百用户。试问，这样的设置就一定会100%适合你吗？肯定不可能。下面，我就以我自己实践的经验，谈谈我自己的看法。   功能设置篇  &...

一、防火墙基本原理　　首先，我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤，和状态检测的包过滤，应用层代理防火墙。但是他们的基本实现都是类似的。　　││---路由器-----网卡│防火墙│网卡│----------内部网络││　　防火墙一般有两个以上的网络卡，一个连到外部(router)，另一个是连到内部网络。当打开主机网络转发功能时，两个网卡间的网络通讯能直接通过。当有防火墙时，他好比插在网卡之间，对所有的网络通讯进行控制。　　说到访问控制，这是防火墙的核心了：)，防火墙主要通过一个访问控制表来判断的，他的形式一般是一连串的如下规则：　　1acceptfrom+源地址，端口to...

有一些问题常令用户困惑：在产品的功能上，各个厂商的描述十分雷同，一些“后起之秀”与知名品牌极其相似。面对这种情况，该如何鉴别？　　描述得十分类似的产品，即使是同一个功能，在具体实现上、在可用性和易用性上，个体差异地十分明显。　　一、网络层的访问控制　　所有防火墙都必须具备此项功能，否则就不能称其为防火墙。当然，大多数的路由器也可以通过自身的ACL来实现此功能。　　1．规则编辑　　对网络层的访问控制主要表现在防火墙的规则编辑上，我们一定要考察：对网络层的访问控制是否可以通过规则表现出来？访问控制的粒度是否足够细？同样一条规则，是否提供了不同时间段的控制手段？规则配置是否提供了友善的界面？是否可以...

　　LooknStop被誉为世界顶级防火墙！与同类产品相比具有最为突出的强劲功能以及与众不同的特点，不仅功能评测在知名防火墙中是最强的！而且软件大小只有区区600多k十分小巧，占内存非常小，可以监控dll，更具强大的御防黑客攻击能力！！　　安装时几点需要注意到的事情：　　1、提示没有经过微软的安全监测，这一点容易理解，微软当然希望所有的人使用它自己开发的软件产品，对于出现的提示，我想经常安装非微软软件产品的朋友都会遇上这种情况。　　2、重新启动电脑进入桌面时，没有弹出一个询问你是否需要下载多国语言插件小窗体，则注意注意检查：　　1）、是否被其它软件当作弹出广告清除；　　2）、安装LooknSt...

不少公司的防火墙作了较为严格的限制，以至于很多网络服务如QQ、MSN都无法运行，如果你还能够打开网页，那么，使用Http通道软件可以让你突破限制，可以在现有的网络条件中使用任何网络服务。　　使用Http通道软件可以突破防火墙的限制，利用唯一Http访问的权限获得其他Internet应用。那么什么是通道呢？这里所谓的通道，是指一种绕过防火墙端口屏蔽的通讯方式。防火墙两端的数据包封装在防火墙所允许通过的数据包类型或是端口上，然后穿过防火墙与对方通讯，当封装的数据包到达目的地时，再将数据包还原，并将还原后的数据包转交到相应的服务器上。　　http://www.http-tunnel.com是一个专业...

　　问：我使用不同的Windows版本，怎么办呢？　　答：WindowsXP前的Windows版本不含内建防火墙。如果计算机用的是旧版Windows，如Windows2000、WindowsMillenniumEdition或Windows98，你应取得防火墙，并加以安装。可使用硬件防火墙或软件防火墙。 　　问：如果我在家中或小型办公室网络中有一台以上的计算机时，应该使用网络联机防火墙吗？　　答：是的。如果你在家中或小型办公室网络中有一台以上的计算机，应该保护网络中的每一台计算机。当其中一台计算机感染病毒时，启用每个联机上的ICF将有助于防范病毒从这台计算机散播到你网络中的其它计算机...

一般而言，实现Linux的防火墙功能有两种策略。一种是首先全面禁止所有的输入、输出和转发数据包，然后根据用户的具体需要逐步打开各项服务功能。这种方式的特点是安全性很高，但必须全面考虑用户所需的各项服务功能，不能有任何遗漏，要求系统管理员清楚地知道实现某种服务和功能需要打开哪些服务和端口。第二种方式是首先默认打开所有的输入、输出数据包，然后禁止某些危险包、IP欺骗包、广播包、ICMP服务类型攻击等；对于应用层的服务，像http、sendmail、pop3、ftp等，可以有选择地启动或安装。这种方式虽然没有第一种方式安全，但比较容易配置，不需要过多地了解ipchains命令...

　　Netfilter提供了一个抽象、通用化的框架，该框架定义的一个子功能的实现就是包过滤子系统。Netfilter框架包含以下五部分：　　1.为每种网络协议(IPv4、IPv6等)定义一套钩子函数（IPv4定义了5个钩子函数）,这些钩子函数在数据报流过协议栈的几个关键点被调用。在这几个点中，协议栈将把数据报及钩子函数标号作为参数调用netfilter框架。　　2.内核的任何模块可以对每种协议的一个或多个钩子进行注册，实现挂接，这样当某个数据包被传递给netfilter框架时，内核能检测是否有任何模块对该协议和钩子函数进行了注册。若注册了，则调用该模块的注册时使用的回调函数，这样这些模块就有机...

Linux本身可以通过添加插座软件包起到代理防火墙的作用，而且，这一切都是免费的。什么是代理防火墙代理防火墙不让任何直接的网络流通过，而由它作为Internet和内部网络计算机之间的中间媒介。防火墙自己处理各种网络服务而不是只让它们直接通过。例如，登录到网络上的计算机请求一个Internet网页。计算机不直接链接到Internet网络服务提供的网页，而是连到自己网络的代理服务器上，代理服务器识别代理请求，然后以合适的方式传递给相应的Internet网络服务器。远程网络服务器视为来自防火墙服务器的正常网络请求，发送合适的网页，防火墙服务器再把网页返送给计算机。这样，防火墙...

Windows防火墙是在WindowsXPServicePack2中取代原来的InternetConnectionFirewall的更新版本.默认状态下防火墙在所有的网卡界面均为开启状态.无论是windowsxp全新安装还是升级安装，这个选项都可以在默认的情况下给网络连接提供更多的保护。但是，如果某些应用程序不能在这个防火墙过滤状态下工作的话，他们将无法兼容于这个新的操作系统。　　更新用户界面和新特性　　要配置Windows防火墙,可以从安全中心中打开，安全中心位于控制面板，当然也可以直接从控制面板中打开Windows防火墙控制台，还有第3个选择，可以从网络连接的高级选项卡中进入防火墙控制台。...