防火墙

在计算中，防火墙是一种网络安全系统，可以根据预定的安全规则xxx和控制传入和传出的网络流量。防火墙通常在可信网络和不可信网络（例如Internet）之间建立屏障。

防火墙分为基于网络的系统或基于主机的系统。基于网络的防火墙可以放置在LAN或WAN中的任何位置。它们是在通用硬件上运行的软件设备，在专用硬件上运行的硬件设备，或者是在系统管理程序控制的虚拟主机上运行的虚拟设备。防火墙设备还可以提供非防火墙功能，例如DHCP或VPN服务。基于主机的防火墙直接部署在主机上本身来控制网络流量或其他计算资源。这可以是一个守护程序或服务作为一部分操作系统或代理应用程序进行保护。

报告的xxx种网络防火墙类型称为数据包筛选器，它检查计算机之间传输的数据包。防火墙维护一个访问控制列表，该列表指示将查看哪些数据包以及应执行什么操作（如果有），并且默认操作设置为静默丢弃。有关数据包的三个基本操作包括静默丢弃，使用Internet控制消息协议丢弃TCP或对发送者的TCP重置响应以及转发到下一跳。可以按源和目标IP地址、协议、源和目标端口过滤数据包。在20世纪和21世纪初，大部分的Internet通信都使用传输控制协议（TCP）或用户数据报协议（UDP）结合众所周知的端口，使那个时代的防火墙能够区分特定类型的流量，例如Web浏览、远程打印、电子邮件传输、文件传输。

关于防火墙技术的xxx篇论文发表于1987年，当时Digital Equipment Corporation（DEC）的工程师开发了称为分组过滤防火墙的过滤系统。在AT＆T贝尔实验室，Bill Cheswick和Steve Bellovin继续进行数据包过滤的研究，并基于其原始的xxx代体系结构为自己的公司开发了一种工作模型。

从1989年至1990年，AT＆T贝尔实验室的三位同事，戴夫·普雷索托，贾纳丹·夏尔马和Kshitij Nigam共同开发了第二代防火墙，称其为电路级网关。

第二代防火墙执行其xxx代前辈的工作，但通过记住两个IP地址在OSI模型的第4层（传输层）使用哪个端口号进行对话，从而维护端点之间特定对话的知识，从而可以进行检查节点之间的整体交换。

Marcus Ranum，Wei Xu和Peter Churchyard在1993年10月发布了称为防火墙工具包（FWTK）的应用程序防火墙。这成为Trusted Information Systems的Gauntlet防火墙的基础。

应用程序层筛选的主要好处是它可以理解某些应用程序和协议，例如文件传输协议（FTP），域名系统（DNS）或超文本传输​​协议（HTTP）。这允许它使用非标准端口来识别不需要的应用程序或服务，或者检测是否滥用了允许的协议。

截至2012年，下一代防火墙在应用程序层提供了更广泛的检查范围，扩展了深度数据包检查功能，包括但不限于：

• 网页过滤
• 入侵防御系统
• 用户身份管理
• Web应用防火墙

通过确定进程是否应接受任何给定的连接，基于端点的应用程序防火墙起作用。应用防火墙通过对照数据传输中涉及的本地进程的规则集检查数据包的进程ID来过滤连接。应用防火墙通过挂接到套接字调用中来过滤应用层与底层之间的连接，从而完成其功能。挂接到套接字调用的应用程序防火墙也称为套接字过滤器。

设置防火墙是一项复杂且容易出错的任务。由于配置错误，网络可能面临安全问题。