何為防火牆

防火牆（Firewall），也稱防護牆，它是一種位于内部網絡與外部網絡之間的網絡安全系統。是一項信息安全的防護系統，依照特定的規則，允許或是限制傳輸的數據通過。主要用于保護一個網絡區域免受來自另一個網絡區域的網絡攻擊和網絡入侵行為。因其隔離、防守的屬性，靈活應用于網絡邊界、子網隔離等位置，具體如企業網絡出口、大型網絡内部子網隔離、數據中心邊界等等。

在網絡的世界裡，要由防火牆過濾的就是承載通信數據的通信包。在網絡中，所謂“防火牆”，是指一種将内部網和公衆訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火牆是在兩個網絡通訊時執行的一種訪問控制尺度，它能允許你“同意”的人和數據進入你的網絡，同時将你“不同意”的人和數據拒之門外，最大限度地阻止網絡中的黑客來訪問你的網絡。

換句話說，如果不通過防火牆，公司内部的人就無法訪問Internet，Internet上的人也無法和公司内部的人進行通信。

簡單地說，防火牆的主要起的作用：劃分網絡安全邊界，實現關鍵系統與外部環境的安全隔離，保護内部網絡免受外部攻擊。與傳統使用路由器做防護，是因為相比防火牆提供了更豐富的安全防禦策略，提高了安全策略下數據報轉發速率。由于防火牆用于安全邊界，因此往往兼備NAT、VPN等功能，并且在這方面的相比路由器更加強勁。

總的來說，防火牆的五大基礎的作用：

1) 過濾進出網絡中的的各種數據

2) 管理和分析訪問網絡的進出流量中的行為

3) 禁止網絡訪問中的特定禁止業務或流量

4) 記錄通過防火牆信息内容和活動

5) 對來自網絡的各種攻擊機檢測和警告

防火牆的發展曆程

防火牆從誕生開始，已經曆了四個發展階段：

◾ 基于路由器的防火牆

◾ 用戶化的防火牆工具套

◾ 建立在通用操作系統上的防火牆

◾ 具有安全操作系統的防火牆

從實現原理角度，防火牆産品可劃分為包過濾防火牆、應用代理防火牆、狀态檢測防火牆和多檢測機制融合防火牆等；從保護對象和資産角度，防火牆産品可劃分為主機型防火牆、網絡型防火牆、Web應用防火牆和數據庫防火牆等；從應用環境角度，防火牆産品可劃分為虛拟化防火牆、工控防火牆和物聯網防火牆等。新版防火牆國家标準創新性地将各類防火牆國家标準、技術特性進行了系統、全面梳理，将防火牆按照保護對象和資産角度劃分為網絡型防火牆、Web應用防火牆、數據庫防火牆和主機型防火牆，形成了統一的技術框架。

防火牆的基本類型

從應用及結構層分為三種：

1) 網絡層防火牆

網絡層防火牆可視為一種 IP 封包過濾器，運作在底層的TCP/IP協議堆棧上。可以以枚舉的方式隻允許符合特定規則的封包通過，其餘的一概禁止穿越防火牆（病毒除外，防火牆不能防止病毒侵入）。這些規則通常可以經由管理員定義或修改，不過某些防火牆設備可能隻能套用内置的規則。

2) 應用層防火牆

應用層防火牆是在 TCP/IP 堆棧的“應用層”上運作，您使用浏覽器時所産生的數據流或是使用 FTP 時的數據流都是屬于這一層。應用代理防火牆主要的工作範圍就是在OIS的最高層，位于應用層之上。其主要的特征是可以完全隔離網絡通信流，通過特定的代理程序就可以實現對應用層的監督與控制。應用層防火牆可以攔截進出某應用程序的所有封包，并且封鎖其他的封包（通常是直接将封包丢棄）。理論上，這一類的防火牆可以完全阻絕外部的數據流進到受保護的機器裡。

3) 數據庫/應用防火牆

數據庫防火牆是一款基于數據庫協議分析與控制技術的數據庫安全防護系統。基于主動防禦機制，實現數據庫的訪問行為控制、危險操作阻斷、可疑行為審計，也是面向應用的防火牆。

數據庫防火牆通過SQL協議分析，根據預定義的禁止和許可策略讓合法的SQL操作通過，阻斷非法違規操作，形成數據庫的外圍防禦圈，實現SQL危險操作的主動預防、實時審計。

數據庫防火牆面對來自于外部的入侵行為，提供SQL注入禁止和數據庫虛拟補丁包功能。

從工作機制上或按訪問控制方式分類（最主流的劃分方法），防火牆分類分為以下三種：

a) 包過濾防火牆 (Packet Filtering)

過濾型防火牆是在網絡層與傳輸層中，可以基于數據源頭的地址以及協議類型等标志特征進行分析，确定是否可以通過。包過濾利用定義的特定規則過濾數據包，防火牆直接獲得數據包的IP源地址、目的地址、TCP/ UDP的源端口、和TCP/UDP的目的端口。在符合防火牆規定标準之下，滿足安全性能以及類型才可以進行信息的傳遞，而一些不安全的因素則會被防火牆過濾、阻擋。包過濾防火牆簡單，但是缺乏靈活性，對一些動态協商端口沒有辦法設置規則。另外包過濾防火牆每個包都需要進行策略檢查，策略過多會導緻性能急劇下降。

b) 代理型防火牆（Application Gateway）

代理型防火牆使得防火牆做為一個訪問的中間節點，對客戶端來說防火牆是一個服務器，對服務器來說防火牆是一個客戶端。代理型防火牆安全性較高，但是開發代價很大。對每一種應用開發一個對應的代理服務是很難做到的，因此代理型防火牆不能支持很豐富的業務，隻能針對某些應用提供代理支持。

c) 狀态檢測防火牆

狀态檢測是一種高級通信過濾，它檢查應用層協議信息并且監控基于連接的應用層協議狀态。對于所有連接，每一個連接狀态信息都将被維護并用于動态地決定數據包是否被允許通過防火牆或丢棄。現在防火牆的主流産品都為狀态檢測防火牆。

防火牆工作原理

（1） 包過濾技術

包過濾作為一種網絡安全保護機制，主要用于對網絡中各種不同的流量是否轉發做一個最基本的控制。

這其中最核心技術就是指定安全策略中的：訪問控制表

傳統的包過濾防火牆對于需要轉發的報文，會先獲取報文頭信息，包括報文的源IP地址、目的IP地址、IP層所承載的上層協議的協議号、源端口号和目的端口号等，然後和預先設定的過濾規則進行匹配，并根據匹配結果對報文采取轉發或丢棄處理。

包過濾防火牆的轉發機制是逐包匹配包過濾規則并檢查，所以轉發效率低下。目前防火牆基本使用狀态檢查機制，将隻對一個連接的首包進行包過濾檢查，如果這個首包能夠通過包過濾規則的檢查，并建立會話的話，後續報文将不再繼續通過包過濾機制檢測，而是直接通過會話表進行轉發。

（2） 防火牆安全策略

防火牆的基本作用是保護特定網絡免受“不信任”的網絡的攻擊，但是同時還必須允許兩個網絡之間可以進行合法的通信。

安全策略是按一定規則控制設備對流量轉發以及對流量進行内容安全一體化檢測的策略，其中，規則的本質是包過濾。

安全策略的作用就是對通過防火牆的數據流進行檢驗，符合安全策略的合法數據流才能通過防火牆，就是根據定義的規則對經過防火牆的流量進行篩選，由關鍵字确定篩選出的流量如何進行下一步操作。

安全策略主要起到兩個主要作用：

對設備本身的訪問進行控制：限制哪些IP地址可以通過Telnet和Web等方式登錄設備，控制網管服務器、NTP服務器等與設備的互訪等。

對跨域防火牆的網絡互訪進行控制：控制内網訪問外網的權限、控制内網不同安全級别的子網間訪問權限等。

（3） 防火牆域間轉發

a) 狀态檢測機制

“狀态檢測”機制以流量為單位來對報文進行檢測和轉發，即對一條流量的第一個報文進行包過濾規則檢查，并将判斷結果作為該條流量的“狀态”記錄下來。對于該流量的後續報文都直接根據這個“狀态”來判斷是轉發（或進行内容安全檢測）還是丢棄。這個“狀态”就是我們平常所述的會話表項。這種機制迅速提升了防火牆産品的檢測速率和轉發效率，已經成為目前主流的包過濾機制。

狀态檢測機制開啟狀态下，隻有首包通過設備才能建立會話表項，後續包直接匹配會話表項進行轉發。

狀态檢測機制關閉狀态下，即使首包沒有經過設備，後續包隻要通過設備也可以生成會話表項。

b) 會話表項

會話表項是狀态檢測防火牆的基礎，每一個通過防火牆的數據流都會在防火牆上建立一個會話表項。以五元組（源目的IP地址、源目的端口、協議号）為Key值，通過建立動态的會話表提供域間轉發數據流更高的安全性，現在主流的下一代防火牆就是在原來五元組基礎上增加用戶、應用字段擴展為七元組。

防火牆的性能

吞吐量：該指标直接影響網絡的性能，檢查防火牆在隻有一條默認允許規則和不丢包的情況下達到的最大吞吐速率，如網絡層吞吐量、HTTP 吞吐暈、SQL 吞吐量。

并發連結數：并發連接數是指穿越防火牆的主機之間或主機與防火牆之間能同時建立的最大連接數，TCP 新建連接速率、HTTP 請求速率、SQL 請求速率。也是防火牆在單位時間内所能建立的最大 TCP 連接數，每秒的連接數。

每秒新建連接數：每秒新建連接數指每秒鐘可以通過防火牆建立起來的完整TCP/UDP連接。該指标主要用來衡量防火牆在處理過程中對報文連接的處理速度，如果該指标低會造成用戶明顯感覺上網速度慢，在用戶較大的情況下容易造成防火牆處理能力急劇下降，并且會造成防火牆對網絡病毒防範能力很差。

時延：入口處輸入幀最後1個比特到達至出口處輸出幀的第1個比特輸出所用的時間間隔。

丢包率：在穩态負載下，應由網絡設備傳輸，但由于資源缺乏而被丢棄的幀的百分比。

防火牆工作模式

防火牆能夠工作在三種模式下：路由模式、透明模式、混合模式。如果防火牆以第三層對外連接（接口具有IP 地址），則認為防火牆工作在路由模式下；若防火牆通過第二層對外連接（接口無IP 地址），則防火牆工作在透明模式下；若防火牆同時具有工作在路由模式和透明模式的接口（某些接口具有IP 地址，某些接口無IP 地址），則防火牆工作在混合模式下。下面對這三種工作模式分别進行介紹：

1、路由模式

防火牆工作在路由模式下，此時所有接口都配置IP 地址，各接口所在的安全區域是三層區域，不同三層區域相關的接口連接的外部用戶屬于不同的子網。當報文在三層區域的接口間進行轉發時，根據報文的IP 地址來查找路由表，防火牆與路由器存在不同，路由模式的防火牆支持ACL 規則檢查、ASPF 狀态過濾、防攻擊檢查、流量監控等功能。當防火牆位于内部網絡和外部網絡之間時，需要将防火牆與内部網絡、外部網絡以及DMZ 三個區域相連的接口分别配置成不同網段的IP 地址，重新規劃原有的網絡拓撲，此時相當于一台路由器。

2. 透明模式

如果防火牆采用透明模式進行工作， 防火牆工作在透明模式（也可以稱為橋模式）下，此時所有接口都不能配置IP 地址，接口所在的安全區域是二層區域，和二層區域相關接口連接的外部用戶同屬一個子網。則可以避免路由模式下需要改變拓撲結構造成的配置風險，此時防火牆對于子網用戶和路由器來說是完全透明的。也就是說，用戶完全感覺不到防火牆的存在。采用透明模式時，隻需在網絡中像放置網橋（bridge）一樣插入該防火牆設備即可，無需修改任何已有的配置。

3. 混合模式

如果防火牆既存在工作在路由模式的接口（接口具有IP 地址），又存在工作在透明模式的接口（接口無IP 地址），則防火牆工作在混合模式下。防火牆工作在混合透明模式下，此時部分接口配置IP 地址，部分接口不能配置IP 地址。混合模式通過配置IP 地址的接口所在的安全區域是三層區域，啟動VRRP（Virtual Router Redundancy Protocol，虛拟路由冗餘協議）功能的接口需要配置IP 地址，其它接口不配置IP地址，通常使用場景為雙機熱備份情況，提高可靠性。

與其他網絡設備的關聯

(一) 防火牆與路由器對比

a) 産品形态方面

路由器與交換機的本質是轉發，防火牆的本質是控制。防火牆與路由器、交換機是有區别的。路由器用來連接不同的網絡，通過路由協議保證互聯互通，确保将報文轉發到目的地；交換機則通常用來組建局域網，作為局域網通信的重要樞紐，通過二層/三層交換快速轉發報文；防火牆主要部署在網絡邊界，對進出網絡的訪問行為進行控制，安全防護是其核心特性。路由器與交換機的本質是轉發，防火牆的本質是控制。

現階段中低端路由器與防火牆有合一趨勢，主要也是因為二者互相功能兼具，變成all in one的産品形态，但基本都是中低端設備。

目前市面上的路由器基本都帶有簡單的防火牆功能，不論是消費級還是企業級，可以實現一些諸如包過濾，IP過濾這樣的功能。

b) 功能方面

防火牆是産生于人們對于安全性的需求。數據包是否可以正确地到達、到達的時間、方向等不是防火牆關心的重點，重點是這個數據包是否應該通過、通過後是否會對網絡造成危害。

路由器的産生是基于對網絡數據包路由而産生的。路由器需要完成的是将不同網段的數據包進行有效的路由管理。路由器主要作用在于能否将不同的網段的數據包進行路由從而進行通訊。即一句話，路由器是保持網絡和數據的“通”。防火牆是保證任何非允許的數據包“不通”。

路由器核心技術的ACL列表是基于簡單的包過濾，屬于OSI第三層過濾。從防火牆技術實現的角度來說，防火牆是基于狀态包過濾的應用級信息流過濾。而在啟用的不同安全策略過程中路由器的默認配置對安全性的考慮不夠周全，需要做高級配置才能達到一些防範攻擊的作用，其針對安全性的規則的部分比較複雜，配置出錯的概率較高。有些防火牆的默認配置即可以防止各種攻擊，更人性化的防火牆都是使用WEB圖形界面進行配置的，配置簡單、出錯率低。

c) 性能方面

路由器的設計初衷是用來轉發數據包的，而不是專門設計作為全特性防火牆的，所以在數據轉發時運算量非常大。如果再進行包過濾，對路由器的CPU和内存會産生很大的影響，這就是為什麼路由器開啟防火牆後，數據轉發率降低的原因。而且路由器由于其硬件成本比較高，其高性能配置時硬件的成本都比較大。由于路由器是簡單的包過濾，包過濾的規則條數的增加，NAT規則的條數的增加，對路由器性能的影響都相應的增加。

而防火牆則不用作數據轉發的工作，隻要判斷該包是否符合要求，隻判斷是否“通過”，其軟件也為數據包的過濾進行了專門的優化，其主要模塊運行在操作系統的内核模式下，設計之時特别考慮了安全問題，其進行數據包過濾的性能非常高。防火牆采用的是狀态包過濾，規則條數，NAT的規則數對性能的影響較小。

最大的不同點在于防攻擊能力方面，通常情況下，普通路由器不具有應用層的防範功能，不具有入侵實時檢測等功能，如果需要具有這樣的功能，就需要升級路由器的系統軟件，就像操作系統一樣。

(二) 防火牆與IPS

防火牆目前主流使用狀态檢測功能來檢查報文鍊路狀态的合法性，丢棄鍊路狀态不合法的報文，核心基礎是會話狀态。當滿足接入條件的用戶流量第一次穿越防火牆時，會産生一個會話表項，該會話的後續報文将基于該會話表項進行轉發。

防火牆工作時根據預配置的安全策略檢查流量，防火牆中的靜态安全防禦技術：防火牆對流量是否非法的判斷往往是基于管理員預先配置的安全策略，無法攔截一些特殊的攻擊。我們常見的傳統防火牆無法攔截針對 Web 服務器的 XSS 攻擊和 SQL 注入攻擊。

而IPS不僅可以檢測威脅，還可以實時阻斷入侵流量，從而及時防止更大的損失。IPS與被動檢測防火牆相比，最大的不同在于主動檢測。入侵檢測技術通過研究入侵行為的過程和特征，使信息安全系統能夠實時響應入侵的時間和過程。IPS異常檢測和特征檢測技術使用，特别是特征庫需要經常根據攻擊情況，不斷升級，以便應對當下最新的攻擊類型，防火牆這很少。

防火牆是針對黑客攻擊的一種被動的防禦，而 IPS 是早起 IDS 加上防火牆的組合，兩者最主要的區别就是防火牆是被動防禦，他隻是本地網絡和外部網絡直接的一道屏障，而 IPS 是一部能夠監視網絡或網絡設備的網絡資料傳輸行為的計算機網絡安全設備，用來補充防病毒和防火牆的補充，可以對攻擊進行識别和主動防禦。

防火牆的局限性

最後，來說說防火牆的不足或天然“劣勢”。首先防火牆不能防範未經過防火牆或繞過防火牆的攻擊。防火牆很難防範來自于網絡内部的攻擊或濫用例如，如果允許從受保護的網絡内部向外撥号，一些用戶就可能形成與Internet 的直接連接。防火牆基于數據包包頭信息的檢測阻斷方式，主要對主機提供或請求的服務進行訪問控制，無法阻斷通過開放端口流入的有害流量，并不是對蠕蟲或者黑客攻擊的解決方案。

大家有什麼相關内容想了解的，歡迎給我留言！關注技福小咖，請幫忙點贊分享，您的支持是我們最大的動力！

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!