什么是防火墙？

可以将你的网络想象成一座繁忙的办公楼，拥有多个入口点。就像保安在门口检查身份一样，防火墙也确保只有经过验证的流量才能进入系统。这样，任何可疑的流量都会被阻挡，从而避免造成潜在的危害。

防火墙的定义

防火墙是一种计算机安全系统。该软件或硬件设备能够监控并控制网络流量的过滤过程。它能够根据既定的安全规则，有选择地阻止恶意流量，或者允许数据包通过。

防火墙通常被用作公共互联网与您的设备或网络之间的屏障。它能够保护网络免受各种在线威胁的侵害。防火墙是网络安全的重要组成部分之一，它始终能够适应不断变化的网络安全环境。

防火墙在网络安全中的重要作用

在商业和消费者环境中，防火墙被广泛用于保护网络的安全。加强网络流量管理以及安全功能。该工具的主要应用场景包括：拦截传入的恶意数据包，或者实现数据分段处理。在网络内部进行防火墙的配置，根据特定的安全规则来设置防火墙，可以让网络管理员在网络内拥有更多的控制手段。

除了提供威胁防御功能之外，防火墙还通过记录日志和进行审计操作来为网络安全情报的收集做出贡献。这些日志可以被分析，从而帮助改进安全策略。同时，这种方式也有助于了解企业每天面临的各种威胁情况。

最后，那些带有基于DNS过滤功能的防火墙也可以用于内容过滤。尤其是当这些防火墙被设置在网络内部时，它们能够阻止用户访问那些不希望被访问的URL和IP地址范围。通过这种方式，网络管理员可以限制用户访问各种网站的行为。

防火墙是如何工作的呢？

防火墙可以过滤进入或离开网络的流量。它充当了一种“守门人”的角色，根据预先设定的规则来决定是否允许或阻止某些数据的传输。这些规则会检查诸如源地址、目标地址、端口号以及所使用的协议等信息，以确定该流量是否安全。

例如，如果有一组数据来自不可信的网络，防火墙会将其阻挡，以防止对网络造成任何损害。防火墙还可以检测数据的内容是否包含有害信息，比如识别出数据中包含的恶意软件。这样就能确保只有安全、合法的流量能够通过防火墙。

根据运行方式的不同，防火墙可以分为以下几种类型：

尽管有这些名称，防火墙之间仍然存在着许多差异，这些差异使得不同的防火墙彼此不同。

代理防火墙

代理防火墙通过以下方式来保护网络资源：过滤交换的应用层数据包用户通过网关（或代理服务器）与本地网络以及公共互联网进行连接。服务器上会配置一个代理防火墙，该防火墙负责监控发送出去的数据包，并与其他Web服务器建立连接。

当Web服务器向客户端发起连接时，同样的过程会反过来发生。此时，Web服务器会检查客户端发送过来的数据。这样，就不需要在客户端和Web服务器之间建立直接的网络连接了，从而能够确保既定的安全策略得到遵守。

代理防火墙最大的缺陷之一在于：当一个代理服务器被分配给多个用户时，有时该代理服务器会成为效率上的瓶颈。随着用户数量的增加，每个用户的处理时间都会呈指数级增长。网络管理员在考虑使用这种方案时，必须考虑到更高的延迟问题。

状态检查防火墙

状态防火墙能够跟踪进入和离开的流量。在分析传入流量时，能够监控当前的网络连接情况。它工作在OSI模型的网络层和传输层，能够拦截数据包并提取相关数据以进行分析，从而提升系统的安全性。系统会保留所有与之前的交互和事件相关的信息，而无需逐一检查每一个传入的数据包。这样一来，系统的操作速度就会大大提升。

上下文是状态检查防火墙做出所有决策的基础。实际上，防火墙只会允许符合特定条件的进入数据包通过。这一点同样适用于端口，因为除非某个连接需要访问某个特定端口，否则这些端口不会被开放。这样就能有效阻止黑客扫描那些仍然处于开放状态的端口所带来的攻击。

状态检测防火墙最大的弱点之一就是它很容易被操纵。一些状态检测防火墙可以通过简单的操作来吸引外部连接，比如查看网页。此外，这些防火墙还极易受到中间人攻击和服务拒绝攻击的威胁。

下一代防火墙（NGFW）

根据Gartner的说法，NGFW是一种非常先进的基于网络的防火墙。这种技术既可以通过软件来实现，也可以通过硬件来实现。这种技术大大提升了网络地址转换防火墙的功能，使其能够从应用程序、端口以及协议层面来检测和阻止复杂的攻击。

一些先进的NGFW功能包括：

• 深度包检查（DPI）– 查看数据包中的内容，并判断这些数据包是用来访问哪些应用程序的。
• 应用意识防火墙会检查正在运行的应用程序以及它们所使用的端口。它能够有效阻止某些类型的恶意软件，因为这些恶意软件试图终止正在运行的进程，从而控制该进程的端口。
• 身份认知——允许防火墙根据用户的身份来实施相关规则。
• 沙箱技术– 将那些从传入的数据包中分离出来的代码片段，在封闭的环境中执行，以确保这些代码并非来自恶意来源。

此外，大多数下一代防火墙至少集成了三种基本的防火墙功能：企业级防火墙功能、入侵防御系统以及应用程序控制功能。这些功能的结合，构成了一种完善的网络安全机制。

以威胁为关注点的下一代防火墙

以威胁为关注点的NGFW会这样做。通过强调实时威胁检测与响应功能，超越了传统NGFW的处理能力。这些防火墙能够整合先进的威胁情报、行为分析以及自动化的威胁缓解措施，从而在新兴风险出现时及时识别并消除这些风险。

这使得系统能够迅速适应不断变化的攻击手段。因此，这种技术对于那些需要采取主动安全措施的环境来说非常有效，尤其是在应对复杂的网络威胁时。与传统的NGFW不同，这款以防御威胁为目标的版本不仅能够有效阻止已知的威胁，还能实时预测并应对新的威胁。

网络应用防火墙（WAF）

WAF通过以下方式来保护网络应用程序：过滤、监控以及阻止恶意的HTTP流量这种防火墙技术能够有效防范跨站伪造、跨站脚本攻击、文件注入、SQL注入等威胁。从运作方式来看，WAF与代理服务器类似，其关键区别在于，WAF充当了Web应用服务器与客户端之间的中介角色。

因此，网络应用程序防火墙被部署在网络应用程序的前端，从而保护该应用程序免受互联网其他部分的威胁。这样一来，服务器就能得到保护，因为所有数据在传输之前都必须经过防火墙的过滤。这种防火墙有多种形式，比如软件形式、硬件形式，或者作为服务来提供。

与其他类型的防火墙一样，WAF也是通过执行安全策略来工作的。不过，WAF的一个显著优势在于它能够非常快速地调整其安全策略。这意味着WAF能够更灵活地应对各种攻击方式。

即服务防火墙（FWaaS）

FWaaS提供了以下功能：基于云的互联网流量检测这种防火墙软件的独特之处在于，它完全是通过云方式来提供服务的。采用FWaaS模式意味着可以摆脱对本地数据中心的依赖，从而减少了需要维护的基础设施数量。

FWaaS的部署方式与其他基于云的服务非常相似。每个客户都会获得一个该服务的虚拟实例，而该实例可以通过网页界面进行自定义配置。通常情况下，FWaaS提供商会提供与内部网络管理员已经熟悉的相同管理界面。

这种模式的缺点与云服务的缺点类似。例如，在线交付模式存在延迟问题，尤其是与内部操作相比时。此外，数据隐私问题始终存在，因为防火墙的维护和管理都是由第三方来承担的。

统一威胁管理（UTM）防火墙

UTM防火墙将多种安全功能整合到同一设备或服务中，从而为网络防护提供了全面的解决方案。除了传统的防火墙功能之外，UTM防火墙还具备其他多种功能。UTM系统还提供了诸如入侵检测与预防等附加工具。此外，还提供了防病毒软件、VPN支持以及内容过滤功能。

这种“一站式”解决方案为那些需要多层保护但缺乏单独解决方案资源的小型企业或组织简化了安全管理流程。不过，由于UTM系统需要处理许多任务，因此有时会导致网络性能下降，尤其是在大规模部署的情况下。

电路级网关防火墙

电路级网关防火墙在OSI模型的会话层进行工作，它们会监控数据包之间的TCP握手过程，以确定该会话是否合法。这些防火墙不会检查单个数据包的内容。虽然它们运行速度更快，但提供的安全性保障却不如应用层防火墙。

这些防火墙能够确保会话的建立符合预先定义的规则，但可能会遗漏某些类型的恶意流量，比如带有数据 payload 的恶意攻击。电路级网关通常用于保护那些被更复杂的防火墙所保护的网络。

虚拟防火墙

虚拟防火墙是一种专为云环境和虚拟化环境设计的安全设备。与传统的硬件防火墙不同，虚拟防火墙作为软件形式，被部署在云基础设施中。这使得它们能够随着虚拟网络的规模而动态扩展。它们可以过滤和监控网络流量，从而保护公共云和私有云中的虚拟机、应用程序以及数据。

虚拟防火墙可以与其他安全工具相结合，比如虚拟专用网络（VPN）和入侵防御系统（IPS），从而提供全面的云安全保护。由于其具有云原生特性，因此对于现代、去中心化的网络架构来说，虚拟防火墙是不可或缺的。

包过滤防火墙

包过滤防火墙是最早出现且最简单的网络安全解决方案之一。它运行在OSI模型的网络层，负责检查通过网络的每个数据包。根据预先定义的规则，防火墙会决定是否允许或阻止这些数据包的传输。这些规则通常基于数据包头部中的信息来判定，比如源地址、目标地址、端口号以及协议类型等。

虽然包过滤防火墙在基本流量管理方面效果不错，但它们容易受到那些试图篡改数据包内容或序列的攻击的破坏。这类攻击可能包括某些类型的恶意软件或拒绝服务攻击。

根据传输方式分类的防火墙类型

如前一节所述，防火墙的部署方式其实有很多种。以下是主要的防火墙部署方式。

基于硬件的防火墙

硬件防火墙就是这样的设备。独立式设备/装置作为防火墙，它们充当了网络边界内各设备与外部世界之间的安全通道。由于这些设备并不连接到任何主机设备，因此它们不会消耗过多的处理能力。它们的唯一功能就是执行安全策略。

对于希望在指定的网络边界内保护多个设备的中大型企业来说，这是一个理想的解决方案。不过，这种解决方案的设置可能会比较复杂，而且还需要更多的维护工作。

基于软件的防火墙

软件防火墙在计算机或服务器上运行其唯一的职责就是确保网络的安全性。它也被称为硬件防火墙或主机防火墙，必须被安装在所有需要保护的设备上。这意味着，设备的部分处理能力必须被用于维持防火墙服务的正常运行。

基于主机的防火墙能够为各个设备提供针对病毒及其他威胁的安全保护。这种先进的威胁防护功能还包括对主机上运行的恶意进程进行监控，同时还会对网络流量进行过滤。

云防火墙

托管安全服务供应商提供基于云的技术支持。存储在云中的防火墙虽然提供商负责技术方面的处理，但客户仍需自行进行相关配置。