防火牆就像是一道「守門機制」，負責審核外部對內部主機的存取請求，進而保護系統不被不明或惡意的來源攻擊。

當一台主機連上網路後，自然會暴露在各種風險之下，例如駭客攻擊、惡意掃描、資料外洩等。而防火牆的主要任務，就是根據設定的規則來「允許或阻擋特定的網路請求」，達成基本的安全防護。

用實際情境來說明防火牆可以做到什麼：

1. 限制內網主機對外的傳輸功能

例如可以設定防火牆，只允許內部主機對內部系統傳輸資料，禁止機敏資料被送出到外部網路，達到防止外洩的目的。

2.只允許 HTTP/HTTPS 的請求

防火牆可以設定只允許符合 HTTP 或 HTTPS 協定的請求（通常對應 Port 80 和 443），其餘像 FTP (21), SSH (22), SMTP (25) 等其他服務的請求一律阻擋。

3.過濾封包內容，阻擋惡意請求

防火牆可以搭配 DPI（Deep Packet Inspection，深層封包檢查）來分析封包內容。
例如攔截 SQL injection、XSS、或木馬等惡意程式特徵碼。

總結：防火牆能做的 3 件事

• 設定允許或封鎖特定來源/網域的請求
• 檢查請求是否符合協定規範
• 過濾封包，阻擋惡意行為

開發階段實務情境

從自己電腦去訪問特定主機上的服務（例如檔案儲存、API 服務）。

但這些主機通常有防火牆保護，只允許特定來源連線。
所以我們必須請主機的管理員開放我們的 IP 和指定 Port 的連線權限。

例如請他們開放：

允許 203.0.113.25 連到 172.16.0.10:8080

如何確認服務是否成功開通？

如果防火牆設定正確、該服務也有啟動，
我們可以用以下指令來測試是否可以連上服務：

telnet 172.16.0.10 8080
若成功連線，代表防火牆允許這個 IP + Port 的進入請求，服務正常運作。