防火墙

防火墙可以防止对私人、商业或国家网络进行未经授权的访问，即使（或正是因为）该网络与外部的公共网络连接。一旦建立了 TCP/IP 连接，就会传输每个数据包。与防火墙不同，路由器对其传输的数据包内容不感兴趣，尽管其功能与防火墙类似。

原则上，防火墙的工作原理是切断与外部的连接，并在中间放置一台带有两个网络接口的计算机。这台计算机的功能与路由器差不多。不过，它不会将每个数据包都发送到另一端，而是根据自己的规则来检查数据包是否被允许通过，是否被拒绝，或是否被直接丢弃。

由于每个数据包都包含发送方和接收方的 IP 号以及双方的端口号，“防火墙”计算机可以识别数据包的发送目的。例如，向互联网上的网络服务器发出请求时，收件人的 IP 号不属于本地网络（例如：端口号为 80）。发送方的 IP 地址来自公司区域，端口号（动态端口）是一个不属于已知端口的任意数字。当服务器做出响应时，收件人和发件人就会互换。相反，试图从外部攻击公司内部网 Web 服务器的情况就不同了。数据包接收方的 IP 地址来自公司内部网络，端口号为 80。因此，可以从数据包地址中分辨出谁是客户端，谁是服务器。

防火墙规则通常会初始化为阻止任何未知的通信。随后，必要的、无害的通信通道会陆续得到批准。因此，必须明确启用网络服务器通过端口 80 访问外部的权限，否则数据包将根据规则被阻止或丢弃。