提到防火墙【fáng huǒ qiáng】✏，顾名思【gù míng sī】义【yì】🤩，就是防火的一【huǒ de yī】道墙🤼。防火墙【fáng huǒ qiáng】✏的最根🥗本工作原理就🕛是数据包过滤【bāo guò lǜ】。实际上【shí jì shàng】🤸在数据包过滤【bāo guò lǜ】的提出之前，都已经出现了【chū xiàn le】防火墙【fáng huǒ qiáng】✏。

　　数据包【shù jù bāo】📶过滤，就是通🍟过查看⛩题头的🐗数据包【shù jù bāo】📶是否含【shì fǒu hán】有非法的数据，我们将此屏蔽【cǐ píng bì】。

　　举个简💾单的例子🐼，假如体育中心有一场刘德华🎀演唱会【yǎn chàng huì】，检票员坐镇门口【kǒu】，他首先😀检查你【jiǎn chá nǐ】的票是【de piào shì】💘否对应，是否今天的【tiān de】📦，然后撕😡下右边【xià yòu biān】的一条，将剩余的给你【de gěi nǐ】🤧，然后告诉你【gào sù nǐ】⛱演唱会【yǎn chàng huì】现场在【xiàn chǎng zài】哪里，告诉你【gào sù nǐ】⛱怎么走。这个基本上就是数据包过滤的工作【de gōng zuò】流程吧🚸。

　　你也许经常听【jīng cháng tīng】到你们老板说🥍：要增加【yào zēng jiā】一台机器它可【qì tā kě】以禁😸止我们【zhǐ wǒ men】不💶想要的【xiǎng yào de】网站，可以禁【kě yǐ jìn】😸止一些邮件它经常给🚃我们发送垃圾邮件和【yóu jiàn hé】🚀病毒等🏇，但是没有一个【yǒu yī gè】📘老板会说🏀：要增加【yào zēng jiā】一台机器它可【qì tā kě】以禁😸止我们【zhǐ wǒ men】不💶愿意访问的数【wèn de shù】据包👏。实际意思就是这样【zhè yàng】。接下来我们推荐几个🚱常用的【cháng yòng de】数据包【shù jù bāo】👏过滤工😱具。

　　最常见😉的数据包【shù jù bāo】💅过滤工具【jù】🗯是路由器【qì】🈸。另外系统中带有【yǒu】😖数据包【shù jù bāo】💅过滤工具【jù】🗯，例如LinuxTCP/IP中带有【yǒu】😖的ipchain等【děng】windows2000带有【yǒu】的TCP/IPFiltering筛选器【shāi xuǎn qì】等【děng】，通过这【tōng guò zhè】些我们👋就可以【jiù kě yǐ】过滤掉我们不【wǒ men bú】🌫想要的🕷数据包【shù jù bāo】💅。

　　防火墙也许是【yě xǔ shì】🤠使用最多的数据包过滤【lǜ】❤工具了，现在的软件防火墙和📹硬件防火墙都【huǒ qiáng dōu】有数据📆包过滤【lǜ】❤的功能🤧。接下来我们会【wǒ men huì】重点介【chóng diǎn jiè】绍防火【shào fáng huǒ】墙的💝。

　　防火墙通过一【tōng guò yī】下方面💦来加强网络的【wǎng luò de】🕘安全：

　　1、策略的设置

　　策略的设置包【shè zhì bāo】括允许与禁止📎。允许例💋如允许⛰我们的客户机【kè hù jī】🌀收发电【shōu fā diàn】子邮件【zǐ yóu jiàn】🎢，允许他📗们访问【men fǎng wèn】一些必🚸要的网站等。例如防火墙经常这么设置【shè zhì】，允许内网的机器访问【qì fǎng wèn】网站、收发电【shōu fā diàn】子邮件【zǐ yóu jiàn】🎢、从【cóng】FTP下载资料等【liào děng】。这样我⛵们就要【men jiù yào】🍩打开👤80、25、110、21端口【duān kǒu】👟，开HTTP、SMTP、POP3、FTP等。

　　禁止就😨是禁止我们的👮客户机【kè hù jī】去访问哪些服【nǎ xiē fú】务。例如我们禁止【men jìn zhǐ】🍉邮件客【yóu jiàn kè】🤜户来访问网站，于是我🌛们就给他打开25、110，关闭【guān bì】80。

　　2、NAT

　　NAT，即网络🙉地址转换，当我们内网【nèi wǎng】📯的机器【de jī qì】在没有公网【gōng wǎng】📯IP地址的🐺情况下【qíng kuàng xià】要访问【yào fǎng wèn】🛫网站🚘，这就要用到🎈NAT。工作过程就是这样【zhè yàng】，内网【nèi wǎng】📯一台机器 192.168.0.10要访问【yào fǎng wèn】🛫新浪，当到达【dāng dào dá】防火墙⏪时💋，防火墙⏪给它转变成一【biàn chéng yī】个公网【gè gōng wǎng】📯IP地址出🐾去。一般我🐁们为每个工作站分配【zhàn fèn pèi】🚶一个公【yī gè gōng】网📯IP地址。

　　防火墙中要用🚰到以上🆑提到的数据包【shù jù bāo】过滤和代理服【dài lǐ fú】务器【qì】🏵，两者各【liǎng zhě gè】有优缺【yǒu yōu quē】点【diǎn】，数据包【shù jù bāo】过滤仅【guò lǜ jǐn】仅检查题头的内容，而代理服【dài lǐ fú】务器【qì】🏵除了检查标题【chá biāo tí】⏳之外还要检查【yào jiǎn chá】内容。当数据包【shù jù bāo】过滤工具瘫【gōng jù tān】痪的时候🍑，数据包【shù jù bāo】就都会🍩进入内🔁网🚪，而当代🤓理服务器【qì】🏵瘫痪的【tān huàn de】时候🍑内网🚪的机器【qì】将🎾不能访【bú néng fǎng】🦎问网【wèn wǎng】🚪络。

　　另外🈲，防火墙还提供了加密、身份验【shēn fèn yàn】证等功能【néng】。还可以【hái kě yǐ】提供对外部用🛢户🚶VPN的功能【de gōng néng】🛠。