2024年5月6日发(作者：浮琇芳)

计算机安全

课程作业

一. 防火墙的概念

近年来，随着普通计算机用户群的日益增长，“防火墙”一词已经不再是服务器领域的

专署，大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是，并不是所有

用户都对“防火墙”有所了解的，一部分用户甚至认为，“防火墙”是一种软件的名称……

到底什么才是防火墙？它工作在什么位置，起着什么作用？查阅历史书籍可知，古代构筑

和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围

作为屏障，这种防护构筑物就被称为“防火墙”（FireWall）。时光飞梭，随着计算机和网

络的发展，各种攻击入侵手段也相继出现了，为了保护计算机的安全，人们开发出一种能

阻止计算机之间直接通信的技术，并沿用了古代类似这个功能的名字——“防火墙”技术

来源于此。用专业术语来说，防火墙是一种位于两个或多个网络间，实施网络之间访问控

制的组件集合。对于普通用户来说，所谓“防火墙”，指的就是一种被放置在自己的计算机

与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才

会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了

对计算机的保护功能。 防火墙技术从诞生开始，就在一刻不停的发展着，各种不同结

构不同功能的防火墙，构筑成网络上的一道道防御大堤。

二. 防火墙的分类

世界上没有一种事物是唯一的，防火墙也一样，为了更有效率的对付网络上各种不同

攻击手段，防火墙也派分出几种防御架构。根据物理特性，防火墙分为两大类，硬件防火

墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个

人计算机上的特殊程序，它是以逻辑形式存在的，防火墙程序跟随系统启动，通过运行在

Ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动

之间，形成一种逻辑上的防御体系。

在没有软件防火墙之前，系统和网络接口设备之间的通道是直接的，网络接口设备通

过网络驱动程序接口（Network Driver Interface Specification，NDIS）把网络上传来的

各种报文都忠实的交给系统处理，例如一台计算机接收到请求列出机器上所有共享资源的

数据报文，NDIS直接把这个报文提交给系统，系统在处理后就会返回相应数据，在某些

情况下就会造成信息泄漏。而使用软件防火墙后，尽管NDIS接收到仍然的是原封不动的

数据报文，但是在提交到系统的通道上多了一层防御机制，所有数据报文都要经过这层机

制根据一定的规则判断处理，只有它认为安全的数据才能到达系统，其他数据则被丢弃。

因为有规则提到“列出共享资源的行为是危险的”，因此在防火墙的判断下，这个报文会被

丢弃，这样一来，系统接收不到报文，则认为什么事情也没发生过，也就不会把信息泄漏

出去了。

软件防火墙工作于系统接口与NDIS之间，用于检查过滤由NDIS发送过来的数据，

在无需改动硬件的前提下便能实现一定强度的安全保障，但是由于软件防火墙自身属于运

行于系统上的程序，不可避免的需要占用一部分CPU资源维持工作，而且由于数据判断处

理需要一定的时间，在一些数据流量大的网络里，软件防火墙会使整个系统工作效率和数

据吞吐速度下降，甚至有些软件防火墙会存在漏洞，导致有害数据可以绕过它的防御体系，

给数据安全带来损失，因此，许多企业并不会考虑用软件防火墙方案作为公司网络的防御

措施，而是使用看得见摸得着的硬件防火墙。

硬件防火墙是一种以物理形式存在的专用设备，通常架设于两个网络的驳接处，直接

从网络设备上检查过滤有害的数据报文，位于防火墙设备后端的网络或者服务器接收到的

是经过防火墙处理的相对安全的数据，不必另外分出CPU资源去进行基于软件架构的

2024年5月6日发(作者：浮琇芳)

计算机安全

课程作业

一. 防火墙的概念

近年来，随着普通计算机用户群的日益增长，“防火墙”一词已经不再是服务器领域的

专署，大部分家庭用户都知道为自己爱机安装各种“防火墙”软件了。但是，并不是所有

用户都对“防火墙”有所了解的，一部分用户甚至认为，“防火墙”是一种软件的名称……

到底什么才是防火墙？它工作在什么位置，起着什么作用？查阅历史书籍可知，古代构筑

和使用木制结构房屋的时候为防止火灾的发生和蔓延，人们将坚固的石块堆砌在房屋周围

作为屏障，这种防护构筑物就被称为“防火墙”（FireWall）。时光飞梭，随着计算机和网

络的发展，各种攻击入侵手段也相继出现了，为了保护计算机的安全，人们开发出一种能

阻止计算机之间直接通信的技术，并沿用了古代类似这个功能的名字——“防火墙”技术

来源于此。用专业术语来说，防火墙是一种位于两个或多个网络间，实施网络之间访问控

制的组件集合。对于普通用户来说，所谓“防火墙”，指的就是一种被放置在自己的计算机

与外界网络之间的防御系统，从网络发往计算机的所有数据都要经过它的判断处理后，才

会决定能不能把这些数据交给计算机，一旦发现有害数据，防火墙就会拦截下来，实现了

对计算机的保护功能。 防火墙技术从诞生开始，就在一刻不停的发展着，各种不同结

构不同功能的防火墙，构筑成网络上的一道道防御大堤。

二. 防火墙的分类

世界上没有一种事物是唯一的，防火墙也一样，为了更有效率的对付网络上各种不同

攻击手段，防火墙也派分出几种防御架构。根据物理特性，防火墙分为两大类，硬件防火

墙和软件防火墙。软件防火墙是一种安装在负责内外网络转换的网关服务器或者独立的个

人计算机上的特殊程序，它是以逻辑形式存在的，防火墙程序跟随系统启动，通过运行在

Ring0级别的特殊驱动模块把防御机制插入系统关于网络的处理部分和网络接口设备驱动

之间，形成一种逻辑上的防御体系。

在没有软件防火墙之前，系统和网络接口设备之间的通道是直接的，网络接口设备通

过网络驱动程序接口（Network Driver Interface Specification，NDIS）把网络上传来的

各种报文都忠实的交给系统处理，例如一台计算机接收到请求列出机器上所有共享资源的

数据报文，NDIS直接把这个报文提交给系统，系统在处理后就会返回相应数据，在某些

情况下就会造成信息泄漏。而使用软件防火墙后，尽管NDIS接收到仍然的是原封不动的

数据报文，但是在提交到系统的通道上多了一层防御机制，所有数据报文都要经过这层机

制根据一定的规则判断处理，只有它认为安全的数据才能到达系统，其他数据则被丢弃。

因为有规则提到“列出共享资源的行为是危险的”，因此在防火墙的判断下，这个报文会被

丢弃，这样一来，系统接收不到报文，则认为什么事情也没发生过，也就不会把信息泄漏

出去了。

软件防火墙工作于系统接口与NDIS之间，用于检查过滤由NDIS发送过来的数据，

在无需改动硬件的前提下便能实现一定强度的安全保障，但是由于软件防火墙自身属于运

行于系统上的程序，不可避免的需要占用一部分CPU资源维持工作，而且由于数据判断处

理需要一定的时间，在一些数据流量大的网络里，软件防火墙会使整个系统工作效率和数

据吞吐速度下降，甚至有些软件防火墙会存在漏洞，导致有害数据可以绕过它的防御体系，

给数据安全带来损失，因此，许多企业并不会考虑用软件防火墙方案作为公司网络的防御

措施，而是使用看得见摸得着的硬件防火墙。

硬件防火墙是一种以物理形式存在的专用设备，通常架设于两个网络的驳接处，直接

从网络设备上检查过滤有害的数据报文，位于防火墙设备后端的网络或者服务器接收到的

是经过防火墙处理的相对安全的数据，不必另外分出CPU资源去进行基于软件架构的