王老吉面壁（打一網絡安全設備）

謎底：防火墻

“怕上火喝王老吉”這句廣告語已經深入人心了?？梢?，王老吉可以用來防止上火，那么王老吉和墻放到一起，肯定是防火墻了。

[[8860]] 

所謂防火墻指的是一個由軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬件和軟件的結合，使Internet與Intranet之間建立起一個安全網關（Security Gateway），從而保護內部網免受非法用戶的侵入，防火墻主要由服務訪問規則、驗證工具、包過濾和應用網關4個部分組成，

防火墻就是一個位于計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火墻用的較少，例如國防部以及大型機房等地才用,因為它價格昂貴)。該計算機流入流出的所有網絡通信均要經過此防火墻。

防火墻 英語為firewall 《英漢證券投資詞典》的解釋為：金融機構內部將銀行業務與證券業務嚴格區分開來的法律屏障，旨在防止可能出現的內幕消息共享等不公平交易出現。使用防火墻比喻不要引火燒身。

為什么使用防火墻?

防火墻具有很好的保護作用。入侵者必須首先穿越防火墻的安全防線，才能接觸目標計算機。你可以將防火墻配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如視頻流等，但至少這是你自己的保護選擇。

防火墻的類型

一個個人防火墻, 通常軟件應用過濾信息進入或留下。一臺電腦和一個傳統防火墻通常跑在一臺專用的網絡設備或電腦被安置在兩個或更多網絡或DMZs (解除軍事管制區域) 界限。 這樣防火墻過濾所有信息進入或留下被連接的網絡。 后者定義對應于"防火墻" 的常規意思在網絡, 和下面會談談這類型防火墻。 以下是兩個主要類防火墻: 網絡層防火墻和 應用層防火墻。 這兩類型防火墻也許重疊; 的確, 單一系統會兩個一起實施。

網絡層防火墻

網絡層防火墻可視為一種 IP 封包過濾器，運作在底層的 TCP/IP 協議堆棧上。我們可以以枚舉的方式，只允許符合特定規則的封包通過，其余的一概禁止穿越防火墻。這些規則通?？梢越浻晒芾韱T定義或修改，不過某些防火墻設備可能只能套用內置的規則。

我們也能以另一種較寬松的角度來制定防火墻規則，只要封包不符合任何一項“否定規則”就予以放行。現在的操作系統及網絡設備大多已內置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進行過濾，例如：來源 IP 地址、來源端口號、目的 IP 地址或端口號、服務類型(如 WWW 或是 FTP)。也能經由通信協議、TTL 值、來源的網域名稱或網段...等屬性來進行過濾。

應用層防火墻

應用層防火墻是在 TCP/IP 堆棧的“應用層”上運作，您使用瀏覽器時所產生的數據流或是使用 FTP 時的數據流都是屬于這一層。應用層防火墻可以攔截進出某應用程序的所有封包，并且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火墻可以完全阻絕外部的數據流進到受保護的機器里。

防火墻借由監測所有的封包并找出不符規則的內容，可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實現而言，這個方法既煩且雜(軟件有千千百百種啊)，所以大部分的防火墻都不會考慮以這種方法設計。

XML 防火墻是一種新型態的應用層防火墻。

代理服務

代理服務設備(可能是一臺專屬的硬件，或只是普通機器上的一套軟件)也能像應用程序一樣回應輸入封包(例如連接要求)，同時封鎖其他的封包，達到類似于防火墻的效果。

代理由外在網絡使竄改一個內部系統更加困難, 并且一個內部系統誤用不一定會導致一個安全漏洞可開采從防火墻外面(只要應用代理剩下的原封和適當地被配置) 。 相反地, 入侵者也許劫持一個公開可及的系統和使用它作為代理人為他們自己的目的; 代理人然后偽裝作為那個系統對其它內部機器。 當對內部地址空間的用途加強安全, 破壞狂也許仍然使用方法譬如IP 欺騙試圖通過小包對目標網絡。

防火墻經常有網絡地址轉換(NAT) 的功能, 并且主機被保護在防火墻之后共同地使用所謂的“私人地址空間”, 依照被定義在[RFC 1918] 。 管理員經常設置了這樣情節在努力(無定論的有效率) 假裝內部地址或網絡。

防火墻的適當的配置要求技巧和智能。 它要求管理員對網絡協議和電腦安全有深入的了解。 因小差錯可使防火墻不能作為安全工具。