网络防火墙是一种安全系统，它能够保护私有网络免受未经授权的访问。它根据预先定义的安全规则来监控和控制进出网络的流量。

• 充当内部网络（可信）与外部网络（不可信）之间的屏障。
• 可以是基于硬件的，也可以是基于软件的，或者两者都有。
• 通过规则、策略以及检查方法来过滤流量。
• 主要目标：防止攻击、恶意软件以及未经授权的访问。

网络防火墙的类型

以下是各种网络防火墙的主要类型，按照其运作方式以及部署位置进行分类：

1) 根据功能来分类（它们如何过滤流量）

网络安全是指保护网络、系统以及数据免受未经授权的访问、攻击和破坏的过程。

a. 数据包过滤防火墙

这是一种基本的防火墙，它能够检查数据包的头部信息，比如IP地址、端口以及协议等。

• 速度非常快，而且运行起来也很轻量级。
• 不会检查数据包中的数据内容。
• 仅提供基本的安全保障而已。

b. 状态检查防火墙

能够追踪活跃的连接状态，并根据网络流量情况做出相应的决策。

• 比包过滤方式更安全。
• 能够记住过去的交通状况（状态表）
• 拦截那些可疑或异常的数据包

c. 代理（应用层）防火墙

充当用户与目标服务器之间的中介角色。

• 在应用层对数据进行过滤处理
• 隐藏内部网络的详细信息
• 可以在恶意内容到达用户之前将其阻止。

d. 电路级网关

可以验证会话的创建过程（类似于TCP握手过程），而无需查看相关数据。

• 确保只有合法的会话才会被启动。
• 低处理成本
• 无法检测到内部数据包威胁。

e. 下一代防火墙（NGFW）

一种先进的防火墙，集成了多种安全功能。

• 包含入侵防御功能以及恶意软件检测功能。
• 可以检查加密后的流量。
• 提供应用程序级别的过滤功能

2) 网络防火墙

网络防火墙负责保护网络边界，而基于主机的防火墙则负责保护各个终端设备。

a. 网络防火墙

被放置在网络边界处，以保护整个网络的安全。

• 控制进出网络的数据流量
• 第一道防线
• 非常适合各种组织使用

b. 基于主机的防火墙

可以安装在个人电脑、笔记本电脑或服务器上。

• 保护单个设备
• 监控本地应用程序的流量情况
• 适用于个人或终端设备的安全保护

3) 数据过滤方法

这三种防火墙类型都用于控制网络访问，但它们在部署位置和作用范围上有所不同。

a. 周边防火墙

它被放置在网络边缘，用于过滤互联网与内部网络之间的流量。

• 中央安全控制
• 阻挡外部攻击
• 常见于企业环境中

b. 内部防火墙

位于内部网络的不同部分之间（例如，不同部门之间）。

• 能够防止内部威胁的出现。
• 保护敏感区域（人力资源、财务部门）
• 提供微细分功能

c. 分布式防火墙

在网络中的多个终端设备上都应用了防火墙策略。

• 没有单一的故障点
• 在各种设备上都能保持一致的安全性
• 非常适合用于大型、分布式网络环境。

4) 外形/结构形式

这是一种安装在计算机或服务器上的程序，能够保护其免受网络威胁的侵害。

a. 硬件防火墙

这是一种安装在网络上的物理设备。

• 表现优异，可靠性高
• 非常适合用于办公室或企业网络环境。
• 比软件防火墙更昂贵

b. 软件防火墙

作为程序安装在计算机或服务器上。

• 易于配置
• 非常适合个人用户以及虚拟环境使用。
• 与硬件解决方案相比，其成本更低。

防火墙的工作原理

防火墙会检查进入或离开网络的数据包，并决定是否允许或阻止这些数据包的传输。它们会根据设定的规则来过滤流量，从而防止恶意数据的传播。

• 分析数据包的头部信息，有时还需要分析数据包的内容。
• 阻止病毒、恶意软件以及未经授权的访问行为。
• 监测交通模式，以发现异常情况。

网络防火墙的优缺点

以下是网络防火墙的一些优缺点：