防火墙是指什么 防火墙属于软件还是硬件

“防火墙”一词源于建筑领域，原用于比喻性地隔离火灾的蔓延，防止其从一个区域扩散至另一个区域。在通信领域中，防火墙则特指一种设备，用以在两个网络间实施有目的的、逻辑上的分隔。

从通信技术角度看，防火墙旨在守护一个网络区域，免受来自另一网络区域的攻击和入侵。其防卫和隔离的特性使其灵活地运用于网络边界、子网分隔等位置，如企业网络出口、大型网络内部的子网间隔以及数据中心边缘等。

防火墙的实现方式可以分为硬件与软件两种。硬件防火墙通过结合硬件与软件技术实现内外网络的隔离，而软件防火墙则纯靠软件程序实现相同的目的。

防火墙虽能划分风险区域与安全区域，但并不会阻碍对风险区域的访问。总体而言，它应具备以下基本功能：

• 限制未获授权的用户进入内部网络，并过滤掉不安全的服务和非法用户。
• 防御入侵者接近内部网络的保护设施，对网络攻击进行检测并发出警报。
• 限制内部用户对特定站点的访问。
• 记录通过防火墙的信息内容和活动。

一个优秀的防火墙系统应具备以下特性：

• 所有在内外网络间传输的数据都必须经过防火墙。
• 只有符合安全策略的合法数据，即被授权的数据才能通过防火墙。
• 防火墙本身需具备预防入侵的功能，不受各类攻击的影响。
• 其人机交互界面应友好，便于用户配置和管理。

关于防火墙的具体类型：

（1）网络层防火墙：作为IP封包过滤器，它在底层的TCP/IP协议栈上运作。管理员可枚举允许特定规则的封包通过，或以较宽松的方式制定规则，只要封包不匹配任何“否定规则”即予放行。

（2）应用层防火墙：在TCP/IP协议栈的“应用层”上工作，如浏览器数据流或FTP数据流均属此层。它能拦截进出应用程序的封包，并阻断其他不符合规则的封包。

（3）数据库防火墙：专为数据库安全而设计，基于数据库协议分析与控制技术。它主动防御，控制访问行为、阻断危险操作并审计可疑行为。同时提供SQL注入防护和数据库虚拟补丁包功能。