一、防火牆産生背景

企業内網要經常連接因特網，就有可能有一些攻擊的行為，攻擊到企業的内網當中來，如果沒有防火牆，企業内網的安全性主要就是由整個企業裡面的各個主機自己提供。那麼根據短木闆的原理，隻要有一台計算機安全性是非常差的話，那麼整個企業網絡的安全性就是以它為準的。防火牆将企業内網外網進行了一定的隔離，阻斷來自外部網絡的攻擊行為。

二、防火牆組成

防火牆是硬件和軟件的統稱，防火牆有防火牆的硬件，也有防火牆軟件來實現相應的控制過程。

三、防火牆劃分網絡區域

（一）防火牆至少會把網絡劃分為兩個區域，一個是安全區域、一個是不安全區域。

（二）防火牆劃分三個區域

上圖拓撲圖當中，發現這個防火牆其實是有三個接口，那麼三個接口其實就是連接了三個區域。

第一個接口，連接内網，防火牆會認為是安全的局域網絡，安全級别默認為100。

第二個接口，連接外網，是不安全的網絡，安全級别為0，也就是充滿危險的。

第三個接口，連接DMZ區域，也叫做軍事化區域，主要用于存放一些需要對外網來提供服務的服務器，能夠使得外網主機能夠主動訪問DMZ區域當中的一些服務器，所以像WEB服務器也好，FTP服務器也好，我們都會統一的放在DMZ區域，DMZ區域安全級别劃分為50，安全級别是介于安全網絡和不安全網絡之間的。當然這是因為劃分了DMZ區域，就可以放在這裡，如果沒有劃分DMZ區域，就隻能放在安全内網裡面。

（三）為什麼要劃分DMZ區域？

因為來自外網的攻擊大部分是攻擊服務器，使得企業的某一些服務不能正常提供，比方防火牆沒有對攻擊流量進行很好阻斷，那麼這些攻擊流量就會攻擊DMZ區域，導緻DMZ區域可能出現問題，但是局域網當中各個主機還是可以進行訪問外網，所以從一定程度上講，防火牆可以隔離安全的網絡。

四、防火牆的功能

防火牆的功能主要是提供相應的訪問控制、流量控制等，對所有的流量都會進行檢測，然後會有相應的日志系統記錄所有流量的詳細情況，所以所有流量都要經過防火牆的監控，都要經過防火牆的控制來決定這個流量能不能通過防火牆。

防火牆還可以提供附加功能，比方像NAT地址轉換，還有SSL也可以在防火牆上面做訪問控制。

五、防火牆的工作模式

（一）路由模式的防火牆

路由模式防火牆類似于一台路由器，路由模式防火牆的每一個接口，有連接内網的、連接DMZ區域的、連接外網的，各個接口都配置了IP地址。

因為各個接口都有IP地址，所以如果内網裡面的IP地址發生了變化 或者拓撲結構發生了變化，防火牆上面也要做相應的更改，否則連通性就會收到影響。

可以在内網當中采用NAT靜态地址轉換，DMZ區域采用動态NAT地址轉換來訪問外網。

（二）透明模式防火牆

透明模式防火牆就類似于一台交換機，所以對内網和DMZ區域而言，都是屬于一個網絡的，然後他們的流量都會經過防火牆，但是他們自己并不清楚，大家都處于同一個網段，所以稱之為透明模式。

透明模式防火牆就類似于一台交換機，所以說網絡當中的拓撲IP發生了相應的變化的話，對于這台防火牆而言，不需要做太多的修改，比較容易實現。

透明模式防火牆各個接口沒有IP地址，不能實現NAT地址轉換，在透明模式下，需要有一台出口路由器，實現NAT地址轉換。

（三）混合模式防火牆

混合模式就是結合路由模式和透明模式的特點，使得這台防火牆既可以工作在路由模式，又可以工作在透明模式。

六、防火牆技術分類

（一）包過濾防火牆（網絡層）

1、包過濾防火牆是工作在網絡層的。

2、包過濾防火牆會根據IP包頭的源目IP地址、端口号、協議等标志來确定是否允許數據包通過，也就是在防火牆當中會進行設定，所以我們看到網絡層IP數據包格式就會有防火牆的檢查模塊，然後會去檢查匹配防火牆的規則，是否匹配，再決定是否丢棄或者是轉發數據包。

3、包過濾防火牆 匹配規則是按照順序來進行匹配的，匹配第一個沒有匹配上，繼續匹配第二個。

4、包過濾防火牆數據轉發速度是比較快的，因為數據包到達防火牆之後，隻是檢查到網絡層就不繼續往上檢查了。

（二）代理層防火牆（應用層）

1. 代理層防火牆工作OSI應用層。
2. 客戶端請求訪問服務器，如果訪問被允許通過，那麼請求就會被代理防火牆接管。
3. 代理防火牆接管之後，對于服務器，其實是在跟代理型防火牆在進行通信，對于客戶端，也是跟代理型防火牆通信，中間有一個代理型防火牆來轉發他們通信的過程。
4. 代理型防火牆會對外網屏蔽内網的信息，所以客戶端并不知道内網詳細信息。
5. 代理型防火牆可以允許或拒絕特定的應用程序或服務，也可以實施數據流的監控和過濾，然後記錄和報告，主要是指記錄日志方面的信息。
6. 包過濾防火牆的日志系統是不夠發達的，而這個應用層的代理型防火牆日志功能是非常全面的。
7. 代理型防火牆通常還具有高速緩存的功能，從而可以實現快速的傳輸。
8. 代理防火牆因為在網絡層進行轉發，然後一直要檢測到應用層，對這個數據進行監控和檢測、匹配規則，如果說運行通過的話，再回到網絡層進行轉發，所以比較消耗時間，但可以提供高速緩存能力。

（三）狀态檢測型防火牆

1、狀态監測型防火牆是基于包過濾防火牆的改進，也是工作在網絡層。

2、狀态監測型防火牆可以動态的根據實際應用需求自動生成包過濾規則。而包過濾防火牆，主要是靜态來實現包過濾規則。

3、包過濾防火牆在内網要訪問外網的時候，是高安全級别向低安全級别的訪問，就會運行被通過。如果外網對内網進行回應，如果沒有制定相應的包過濾規則，就會被阻斷。

4、狀态檢測型防火牆會動态産生包過濾規則，在内網訪問外網之後，就會自動建立一個帶時間周期的連接狀态表，當外網響應的時候，就知道是一個響應包，然後這個包就可以被進行轉發。

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!