軟件防火墻怎么關閉（常見的防火墻軟件）

首先什么是防火墻，防火墻是指由軟件和硬件組合而成，用于隔離內網和外網、公用網絡和專業網絡之間的一道安全屏障。防火墻可以保護內網免受非法用戶的入侵和絕大多數的網絡攻擊，防火墻主要由匹配規則、驗證工具、包過濾以及應用網關這4個部分組合而成，所有從內外網流出的數據都要經過防火墻的檢測，只有符合安全規則的數據才能從防火墻通過。

　　包過濾防火墻

首先是最基本的包過濾防火墻，包過濾防火墻通過查看數據包的包頭信息與特征庫里的信息進行比對，如果沒有比對到特征碼，則認為數據包是安全的，通過數據包;否則就丟棄該數據包。

常見的網絡防火墻類型

包過濾在IP層進行實現，通過檢查數據包的源IP地址、目標IP地址、源端口號、目標端口號、網絡協議的類型等信息來進行判斷數據包的安全性包過濾。

也可以對服務類型進行過濾，可以知道特定的服務進行過濾，由于絕大多數的服務都在TCP/UDP端口上，因此只需要對特定的端口數據包進行丟棄即可。

包過濾一般通過一臺路由器或主機進行過濾，列入在常見的Cisco路由設備上，可以通過配置ACL(訪問控制列表),來對數據包進行控制。

　　優點:

-由于只對數據的包頭進行檢查、因此比較容易實現，適合小型、不太復雜的網絡站點。

-應為過濾路由器主要工作在IP層，因此對數據包的處理速度比代理型服務器快。

-對于用戶而言過濾路由器提供了一種透明服務，用戶不需要配置，也被稱為透明網關。

-價格比較便宜。

　　缺點:

-顯而易見由于是透明服務，因此包過濾網關不支持身份認證。

-特征庫只能匹配已近存在的攻擊，對于新型網絡攻擊無法解決。

-如果外網用戶被允許訪問內網的主機，那么他基本能訪問所有主機。

-太依賴單一的部件來保護系統，列入匹配庫失效，那么一切保護蕩然無存。

-只能阻止外部IP偽裝內部IP的欺騙，無法阻止外部IP偽裝外部IP，也不能防止DNS欺騙。

　　應用代理(網關)防火墻

代理型防火墻包括了OSI七層的應用層，而且主要在應用層實現。應用代理起到一個中間人的作用,數據包不直接送服務器而是先流進處于瀏覽器和服務器之間的代理，有代理服務器將信息傳遞到服務器端，當接收到服務器端的響應后，再由代理服務器，返回信息到瀏覽器。代理服務器也可以用于頁面的緩存，代理服務器從互聯網上下載特定的頁面前，先從緩存器中取出頁面。內外網之間不存在直接連接由于應用代理防火墻主要在應用層實現，因此可以對網絡上一層的數據包進行身份驗證，使符合安全故則的通過，其余的丟棄。它允許通過的數據包由網關復制并傳遞，防止在受信任服務器和客戶機與不受信任的主機間直接建立聯系。應用代理防火墻還可以起到隱藏內網的結構的作用，內網主機只需要將服務的IP地址指向代理主機，就可以訪問網絡資源。

　　優點

-應用代理提供身份認證，用戶和密碼的認證。

-內容過濾， 如上面我們講到的Unicode攻擊，應用代理(網關)防火墻能發現這種攻擊，并對攻擊進行阻斷。此外，還有常見的過濾80端口的Java Applet、JavaScript、ActiveX、電子郵件的MIME類型，還有Subject、To、From等等。

-由于突破了OSI的四層，因此可以提供詳細的日志記錄功能，可以記錄應用層的一些相關命令。

　　缺點:

-速度慢，由于所有的連接都需要代理服務器的分析、轉換、轉發，所以速度較慢。

-一個明顯的弊端就是，醒的網絡協議和應用系統都需要新的應用代理。

　　狀態檢測防火墻

狀態檢測防火墻在網絡層有一個檢測引擎截獲數據包并抽取與應用層狀態有關的信息，通過這個作為依據是連接通過還是拒絕.狀態檢測技術最適合提供對UDP協議的有限支持。

它將所有通過防火墻的UDP分組均視為一個虛連接，當反向應答分組送達時，就認為一個虛擬連接已經建立。狀態檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性，不僅僅檢測“to”和“from”的地址，而且不要求每個訪問的應用都有代理。

這是第三代防火墻技術，能對網絡通信的各層實行檢測。同包過濾技術一樣，它能夠檢測通過IP地址、端口號以及TCP標記，過濾進出的數據包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數據，這些算法通過己知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。狀態監視器的監視模塊支持多種協議和應用程序，可方便地實現應用和服務的擴充。此外，它還可監測RPC和UDP端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進行監測，狀態監視器實現網絡安全的目的。目前，多使用狀態監測防火墻，它對用戶透明，在OSI最高層上加密數據，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務額外增加一個代理。

　　優點:

-安全性高

狀態檢測防火墻工作在數據鏈路層和網絡層之間，它從這里截取數據包，因為數據鏈路層是網卡工作的真正位置，網絡層是協議棧的第一層，這樣防火墻確保了截取和檢查所有通過網絡的原始數據包。防火墻截取到數據包就處理它們，首先根據安全策略從數據包中提取有用信息，保存在內存中;然后將相關信息組合起來，進行一些邏輯或數學運算，獲得相應的結論，進行相應的操作，如允許數據包通過、拒絕數據包、認證連接、加密數據等。狀態檢測防火墻雖然工作在協議棧較低層，但它檢測所有應用層的數據包，從中提取有用信息，如IP地址、端口號、數據內容等，這樣安全性得到很大提高。

-高性能

狀態檢測防火墻工作在協議棧的較低層，通過防火墻的所有的數據包都在低層處理，而不需要協議棧的上層處理任何數據包，這樣減少了高層協議頭的開銷，執行效率提高很多;另外在這種防火墻中一旦一個連接建立起來，就不用再對這個連接做更多工作，系統可以去處理別的連接，執行效率明顯提高。

-可擴展性強

狀態檢測防火墻不像應用網關式防火墻那樣，每一個應用對應一個服務程序，這樣所能提供的服務是有限的，而且當增加一個新的服務時，必須為新的服務開發相應的服務程序，這樣系統的可擴展性降低。狀態檢測防火墻不區分每個具體的應用，只是根據從數據包中提取出的信息、對應的安全策略及過濾規則處理數據包，當有一個新的應用時，它能動態產生新的應用的新的規則，而不用另外寫代碼，所以具有很好的伸縮性和擴展性。

-便于配置，應用范圍廣

狀態檢測防火墻不僅支持基于TCP的應用，而且支持基于無連接協議的應用，如RPC、基于UDP的應用(DNS 、WAIS、 Archie等)等。對于無連接的協議，連接請求和應答沒有區別，包過濾防火墻和應用網關對此類應用要么不支持，要么開放一個大范圍的UDP端口，這樣暴露了內部網，降低了安全性。

狀態檢測防火墻實現了基于UDP應用的安全，通過在UDP通信之上保持一個虛擬連接來實現。防火墻保存通過網關的每一個連接的狀態信息，允許穿過防火墻的UDP請求包被記錄，當UDP包在相反方向上通過時，依據連接狀態表確定該UDP包是否被授權的，若已被授權，則通過，否則拒絕。如果在指定的一段時間內響應數據包沒有到達，連接超時，則該連接被阻塞，這樣所有的攻擊都被阻塞.狀態檢測防火墻可以控制無效連接的連接時間，避免大量的無效連接占用過多的網絡資源，可以很好的降低DOS和DDOS攻擊的風險。

狀態檢測防火墻也支持RPC，因為對于RPC服務來說，其端口號是不定的，因此簡單的跟蹤端口號是不能實現該種服務的安全，狀態檢測防火墻通過動態端口映射圖記錄端口號，為驗證該連接還保存連接狀態、程序號等，通過動態端口映射圖來實現此類應用的安全。

　　缺點;

-數據存在延遲，由于連接建立在復雜的協議分析機制上。

-不能分析高級協議中的數據。

-只檢測第三層信息無法識別廣告、木馬、垃圾郵件等。

-最大的弊端只能識別已經存在的安全問題、對于新的安全問題無能為力。

　　最新一代防火墻(第五代防火墻)

1998年，NAI公司推出了一種自適應代理(Adaptive proxy)技術，并在其產品Gauntlet Firewall for NT中得以實現，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

　　一體化安全網關UTM

UTM統一威脅管理，在防火墻基礎上發展起來的，具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設備。由于同時開啟多項功能會大大降低UTM的處理性能，因此主要用于對性能要求不高的中低端領域。在中低端領域，UTM已經出現了代替防火墻的趨勢，因為在不開啟附加功能的情況下，UTM本身就是一個防火墻，而附加功能又為用戶的應用提供了更多選擇。在高端應用領域，比如電信、金融等行業，仍然以專用的高性能防火墻、IPS為主流。

　　企業級防火墻

大型企業一般都會選擇混合型的防火墻，即集合包過濾、應用代理、狀態檢測，而且具備IDS、IPS、VPN、放垃圾郵件、支持IPV6和IPV4雙協議、支持DDOS防護等功能的大型混合型防火墻。

以上就是常見的防火墻類型全部內容。