您可能听说过防火墙是一种重要的安全保护，但是您知道为什么吗？如果在电视节目、电影和其他形式的流行媒体中提到防火墙，很多人都不会这样做。

防火墙位于计算机(或本地网络)和另一个网络(如Internet)之间，控制传入和传出网络流量。没有防火墙，什么都行。有了防火墙，防火墙的规则决定了允许哪些流量通过，哪些不允许。

为什么计算机包含防火墙

大多数人现在在家里使用路由器，这样他们就可以在多个设备之间共享互联网连接。然而，曾经有一段时间，许多人将计算机的以太网电缆直接插入电缆或DSL调制解调器，将计算机直接连接到Internet。直接连接到Internet的计算机有一个可公开寻址的IP-换句话说，Internet上的任何人都可以访问它。您的计算机上运行的任何网络服务-如Windows附带的文件和打印机共享服务、远程桌面和其他功能-Internet上的其他计算机都可以访问。

Windows XP的原始版本不包含防火墙。为本地网络设计的服务、无防火墙和直接连接到Internet的计算机相结合，导致许多Windows XP计算机在直接连接到Internet几分钟内就被感染。

Windows防火墙是在Windows XP Service Pack 2中引入的，它最终在Windows中默认启用了防火墙。这些网络服务与互联网隔离。除非专门配置为允许这些传入连接，否则防火墙系统会丢弃所有传入连接，而不是接受所有传入连接。

这会阻止Internet上的用户连接到您计算机上的本地网络服务。它还控制从本地网络上的其他计算机访问网络服务。这就是为什么当您在Windows中连接到某个网络时会被问到它是哪种类型的网络。如果您连接到家庭网络，防火墙将允许访问这些服务。如果您连接到公用网络，防火墙将拒绝访问。

即使网络服务本身配置为不允许来自Internet的连接，该服务本身也可能存在安全缺陷，并且巧尽心思构建的请求可能允许攻击者在您的计算机上运行任意代码。防火墙通过挡路来防止这一点，甚至阻止传入连接到达这些潜在的易受攻击的服务。

更多防火墙功能

防火墙位于网络(如Internet)和防火墙保护的计算机(或本地网络)之间。防火墙对家庭用户的主要安全目的是阻止未经请求的传入网络流量，但防火墙可以做的远不止这些。由于防火墙位于这两个网络之间，因此它可以分析进出网络的所有流量，并决定如何处理这些流量。例如，防火墙还可以配置为阻止某些类型的传出流量，或者记录可疑流量(或所有流量)。

防火墙可以有各种规则来允许和拒绝某些类型的流量。例如，它可能只允许从特定IP地址连接到服务器，而出于安全考虑，会丢弃来自其他地方的所有连接请求。

防火墙可以是任何东西，从笔记本电脑上运行的软件(如Windows附带的防火墙)到公司网络中的专用硬件。这样的公司防火墙可以分析传出流量，以确保没有恶意软件通过网络进行通信，监控员工的网络使用情况，并过滤流量-例如，可以将防火墙配置为仅允许Web浏览流量通过防火墙，从而阻止对其他类型应用程序的访问。

如果你和大多数人一样，你家里有一台路由器。由于其NAT(网络地址转换)功能，您的路由器实际上相当于一种硬件防火墙，可防止未经请求的传入流量到达您的计算机和路由器后面的其他设备。

图片来源：来自Wikimedia Commons的防火墙图，ChrisDag on Flickr