什么是防火墙，部署防火墙有什么好处？

与我们的房屋没有围墙或界限墙一样，没有防护措施的计算机和网络将容易受到黑客的入侵，这将使我们的网络处于巨大的风险之中。因此，就像围墙保护我们的房屋一样，虚拟墙也可以保护和安全我们的设备，使入侵者无法轻易进入。这种虚拟墙被称为防火墙。

什么是防火墙？

防火墙（Firewall），也称防护墙，是由Check Point 创立者Gil Shwed于1993 年发明并引入国际互联网（US5606668（A）1993-12-15）。

它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

防火墙是一个重要的安全层，充当专用网络和外部世界之间的屏障，可监控传入和传出的网络流量，以便使用指定的规则检测和阻止危险数据包，仅允许真实信息访问您的专用网络。防火墙工作在过滤机制上，当网络数据包进入防火墙时，它会根据配置的规则对其进行检查，规则可以是一组参数，例如端口号、IP 等，每个规则都被赋予允许或不允许的状态。

防火墙的工作原理

防火墙位于两个网络（即专用网络和公共网络）的交汇点或网关处，通常，防火墙工作在 OSI 模型的第 3 层和第 4 层（即分别为网络和传输层），它检查所有传入和传出流量，并阻止那些不符合指定安全规则（即 ACL）标准的流量，该规则可以基于许多参数：

IP 地址
域名
协议
端口

防火墙操作可以通过一个简单的类比来理解，“IP 地址”被视为“房屋”，“端口号”被视为房屋内的“房间”，在这种情况下，始终只允许受信任的人（源地址）进入房屋（目标地址），这些人在房屋内的活动被进一步过滤或限制，如下所述：

进入房子的人只能进入某些房间（目的地端口），这取决于他们是主人还是客人。
业主可以冒险进入任何房间（任何端口），而客人可以进入特定的一组房间（特定端口）。

防火墙可以使用户的网络划规划更加清晰明了，全面防止跨越权限的数据访问，如果没有防火墙的话，你可能会接到许许多多类似的报告，比如单位内部的财政报告刚刚被数万个Email邮件炸烂。

一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。

1、屏蔽路由器：

是一个多端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项，对IP包进行过滤。

这里面举个例子：

一堆人来到一个快要开盘楼盘售楼部买房，售楼小姐先需要对你们进行大概的登记和了解，你是否有正规工作，是否是本市户口，是否能正常贷款，首付多少、、、,当进行这一系列的问题后，售楼小姐会对来买房的人员进行一个过滤。

2、代理服务器：

是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关，网关我们前天讲到过，它就是一个关口。

一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用，比如Telnet或者FTP，同代理服务器打交道，代理服务器要求用户提供其要访问的远程主机名。

当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。

还来讲买房：

当你已经符合买房的条件了，你要买到房，关键的环节就是贷款，这时售楼顾问就是网关，你提供完整的贷款资料（工资证明，收入明细等）给售楼顾问，售楼顾问会审核下，各条件都符合了，没有问题的话，他就提交给银行，贷款批下来了，房子就可以顺利的买到了。

防火墙的分类

防火墙根据其部署方式可分为以下几类：

防火墙还根据其工作方式进行分类，每种类型都可以部署为软件或硬件设备，有六种基本类型的防火墙：

1、包过滤防火墙

这是非常基本的防火墙类型，适用于数据包级别，为了进行数据包过滤，防火墙创建了基本规则，规则可能具有目标 IP、源 IP、源端口、目标端口等，以及结果（允许/丢弃），一旦数据包进入，就会根据所有规定的规则对其进行检查，检查会根据规则检查顶级数据包参数，例如源 IP、目标 IP 等。

如果检查失败，数据包将被丢弃。

包过滤防火墙消耗的资源非常少，这意味着，它们对系统性能没有任何影响，但同时，它看起来只是表面级别的参数，因此任何由内容执行的攻击都不会被阻止。

2、代理防火墙

代理防火墙在应用层拦截消息，这是通过将代理服务器部署为通信主机之间的中间节点来实现的，服务器托管代理过滤应用程序，它将所有消息从一个方向重定向到另一个方向。

中间有一个代理服务器，逻辑上有四个通信主机，一方面，中间服务器充当客户端，另一方面，它充当服务器。

3、下一代防火墙

下一代防火墙可提供传统防火墙的功能，以及入侵检测和预防、高效恶意软件扫描等额外功能，还能够从第二层监控网络协议，即通过 OSI 模型的顶层或应用层的 OSI 模型的数据链路层。

尽管下一代防火墙效率更高，但设置此类防火墙需要巨额投资，大多数企业可能不需要下一代防火墙的所有功能，下一代防火墙还实施深度数据包检测，这意味着防火墙还会查看每个数据包所承载的实际数据，最终确保最佳安全性，虽然这可能会对网络性能造成影响，但安全性确实很强。

4、状态检查防火墙

状态检查防火墙和数据包检查，为验证和跟踪已安装的连接提供最佳安全性。

建立连接后，他们可以创建包含源 IP、目标 IP、源端口和目标端口的国家/地区表。基于此信息，他们动态创建自己的规则，以允许预期的传入网络流量，而不依赖于一组硬代码规则，他们只是丢弃一个不包含经过验证的活动连接的数据包。

5、电路级网关

电路级网关在本地和远程主机之间建立 TCP 握手和其他网络协议会话启动消息时，通过网络监控它们，以确定正在启动的会话是否合法，远程系统是否被认为是可信的，他们自己不检查数据包。但是，它们提供了一种快速识别恶意内容的方法。

6、统一威胁管理 (UTM) 防火墙

统一威胁管理 (UTM) 防火墙通过将多个关键安全功能整合到单个仪表板中，提供了一种现代的安全方法。这些防火墙解决方案将状态检测防火墙的元素与防病毒、入侵防御系统 (IPS)、反垃圾邮件、虚拟专用网络 (VPN)等其他关键安全元素结合在一起。UTM 防火墙通常部署为单一安全解决方案，提供多种安全功能。通过在组织的网络上分层安全功能，安全团队可确保对网络威胁进行全面保护和更强大的防御。

UTM 防火墙降低了安全团队的复杂性，他们的任务是利用有限的人员或资源保护和防御其网络。企业甚至中小型企业 (SMB) 在其网络上面临着一系列复杂的供应商，每个供应商都有自己的安全功能，可以将安全性集中在一个保护伞下，从而降低复杂性和开销。使用 UTM 防火墙，即使有多个分支需要保护，也只需要一个安全团队。