你可能听说过防火墙是一种重要的安全保护，但你知道为什么吗？如果电视节目、电影和其他形式的流行媒体中提到防火墙有任何迹象的话，很多人不会这么做。

防火墙位于计算机（或本地网络）和另一个网络（如Internet）之间，控制传入和传出的网络流量。如果没有防火墙，任何事情都会发生。有了防火墙，防火墙的规则决定了哪些流量可以通过，哪些流量不能通过。

为什么计算机包括防火墙

现在大多数人在家里使用路由器，这样他们就可以在多个设备之间共享他们的互联网连接。然而，曾经有一段时间，许多人将电脑的以太网电缆直接**电缆或DSL调制解调器，将电脑直接连接到互联网。直接连接到互联网的计算机有一个可公开寻址的IP——换句话说，互联网上的任何人都可以访问它。您的计算机上运行的任何网络服务（如Windows提供的文件和打印机共享服务、远程桌面服务和其他功能）都可以被Internet上的其他计算机访问。

WindowsXP的原始版本不包含防火墙。为本地网络设计的服务，没有防火墙，计算机直接连接到Internet，这些结合导致许多Windows XP计算机在直接连接到Internet的几分钟内就被感染。

Windows防火墙是在Windows XP Service Pack 2中引入的，它最终在Windows中默认启用了防火墙。那些网络服务是与因特网隔离的。防火墙系统不接受所有传入连接，而是丢弃所有传入连接，除非它专门配置为允许这些传入连接。

这会阻止Internet上的用户连接到您计算机上的本地网络服务。它还控制从本地网络上的其他计算机访问网络服务。这就是为什么当你在Windows中连接到一个网络时会被问到它是什么类型的网络。如果您连接到家庭网络，防火墙将允许访问这些服务。如果您连接到公共网络，防火墙将拒绝访问。

即使网络服务本身被配置为不允许来自Internet的连接，该服务本身也可能存在安全漏洞，并且精心编制的请求可能允许攻击者在您的计算机上运行任意代码。防火墙阻止了这种情况的发生，阻止了传入的连接甚至到达这些潜在的易受攻击的服务。

更多防火墙功能

防火墙位于网络（如Internet）和防火墙保护的计算机（或本地网络）之间。防火墙对家庭用户的主要安全目的是阻止未经请求的传入网络流量，但防火墙可以做的远不止这些。因为防火墙位于这两个网络之间，所以它可以分析到达或离开网络的所有流量，并决定如何处理这些流量。例如，防火墙还可以配置为阻止某些类型的传出流量，或者可以记录可疑流量（或所有流量）。

防火墙可以有多种允许和拒绝特定类型流量的规则。例如，它只能允许从特定IP地址连接到服务器，为了安全起见，会删除来自其他地方的所有连接请求。

防火墙可以是任何东西，从笔记本电脑上运行的软件（如Windows附带的防火墙）到公司网络中的专用硬件。此类公司防火墙可以分析传出流量，以确保没有恶意软件通过网络进行通信，监视员工的网络使用情况，并过滤流量—例如，可以将防火墙配置为仅允许通过防火墙的web浏览流量，从而阻止对其他类型应用程序的访问。

如果你和大多数人一样，家里有路由器。由于其NAT（网络地址转换）功能，您的路由器实际上是一种硬件防火墙，防止未经请求的传入流量到达您的计算机和路由器后面的其他设备。

图片来源：Wikimedia Comm***的防火墙图，Flickr上的ChrisDag