那麼什麼是防火牆呢？為什麼需要防火牆呢？防火牆和路由器、交換機有什麼區别呢？

如下圖所示，内部網絡和外部網絡互訪時，内部網絡可能存在一些安全隐患，可能被攻擊。

這個時候就需要在内部網絡和外部網絡之間有一個設備能夠保護内網。那麼這個設備就是防火牆。

防火牆能夠實現如下業務述求；

（1）外部網絡安全隔離；

（2）内部網絡安全管控；

（3）内容安全過濾；

（4）入侵防禦

（5）防病毒等

1、防火牆概念

防火牆就類似于我們家裡的門，進出家裡都需要經過門，門其實起到了一個安全保護的作用。

下面看下官方的定義:

防火牆是一種安全設備，保護一個網絡區域免受另一個網絡區域的攻擊和入侵，通常被部署在網絡邊界，例如：企業互聯網出口；

簡單講防火牆作為網絡中的設備，它的作用也是對網絡起到安全保護的作用，對進出網絡的流量進量進行安全管理，保證内網的安全性。

2、防火牆分類

（1）按照硬件形态，防火牆可以分為盒式防火牆、框式防護牆；

（2）按照軟硬件區分：防火牆可以分為軟件防火牆和硬件防火牆；

（3）按照防火牆技術原理：防火牆可以分為包過濾防火牆、狀态檢測防火牆，AI防火牆；（後面章節會詳細介紹這3種防火牆的區别。）

如上圖所示：

（1）交換機的作用是接入終端和彙聚内部路由，負責二三層報文的轉，發構建一個内部的園區網絡；

（2）路由器的作用是路由尋址和轉發，構建外部連接網絡。

（3）防火牆的作用是流量控制和安全防護，區分和隔離不同安全區域；

防護牆和路由器的轉發流程對比

防火牆的轉發流程比路由器要複雜：

以框式設備為例：

硬件上除了接口、LPU、交換網闆的等外，還有防火牆特有的SPU，用于實現防火牆的安全功能。

SPU可以進行：

DDOS攻擊防範；

匹配會話；

狀态檢測；

認證策略；

安全策略；

NAT策略；

等等

1、企業邊界防護

如下圖所示，企業内網業務部署在trust區，服務器部署在DMZ。

（1）企業内網訪問internet時經過防火牆，防火牆控制内外網流量，進行安全控制；

（2）外網用戶訪問服務器時經過防火牆，對内網服務器進行保護；

2、内網安全隔離

如下圖所示：公司分為市場部、生産部，财經部，研發部，不同部分之間互訪經過防火牆。通過防火牆進行安全控制。

3、數據中心邊界防護

數據中心網絡訪問internet時，需要經過防火牆進行安全控制，對内網業務進行安全保護。

4、數據中心安全聯動

數據中心網絡一般采用Spine-Leaf架構。

Spine為骨幹節點負責流量高速轉發;

Leaf為葉子節點負責服務器、防火牆或其他設備接入。

Spine-Leaf之間全三層互聯。

如下圖所示，防火牆旁挂在數據中心核心spine，核心出Internet的流量重定向到防火牆進行安全控制。

---END---

更多精彩资讯请关注tft每日頭條，我们将持续为您更新最新资讯!