防火墙是如何工作的呢？

防火墙是一种网络安全工具，它能够在内部资源与外部互联网之间建立一道屏障。防火墙可以过滤网络流量，只允许经过验证的数据包通过，而阻止所有恶意流量的传输。此外，防火墙还能通过验证用户的身份来实施访问控制，从而确保只有经过授权的用户才能访问网络资源。

每个组织都应该使用强大的防火墙来保护其应用程序和数据。不过，防火墙究竟是如何工作的呢？同时，防火墙还有哪些不同的方式来过滤网络流量呢？

这篇文章将解释防火墙背后所发生的一切。我们还将探讨主要的过滤技术，包括数据包过滤、状态检测以及代理服务。在文章的最后，你将能够选择合适的网络安全工具来保障组织的安全。

主要要点/核心内容

• 防火墙起到了至关重要的作用，它能够过滤网络流量，从而阻止那些恶意的行为，同时又能让合法的数据顺利通过。
• 不同类型的防火墙，从数据包过滤器到下一代防火墙，所提供的检查和保护功能也有所不同。
• 硬件防火墙和软件防火墙都发挥着至关重要的作用。硬件防火墙负责保护整个网络，而软件防火墙则用于保护各个独立的设备。
• 虽然防火墙非常重要，但要想充分发挥其作用，就必须将其与其他工具相结合，比如防病毒软件和身份管理工具。只有这样，才能构成一个完整的安全体系。
• 有效的防火墙实施需要仔细的规划，既要考虑到安全需求，又要考虑速度、成本以及可扩展性等因素。

理解防火墙的工作原理

现代组织所处的环境充满了各种数字威胁。每周都有新的数据泄露或勒索软件攻击的报道。各国政府不断出台新的法规来保护数据安全，同时，对于那些安全措施不完善的公司来说，新的处罚措施也会随之增加。

在这种情况下，网络访问是企业至关重要的需求。如果企业无法控制自己的数字边界，那么他们可能会遭受巨大的经济损失。因此，建立有效的防火墙保护变得比以往任何时候都更加重要。

什么是防火墙？

防火墙是一种网络安全系统。根据预先确定的安全规则，监控并控制网络中的进出流量。配置得当的防火墙能够允许经过验证的用户自由访问网络，同时阻止未经授权的设备访问网络。

它能够有效抵御许多重要的网络安全威胁，比如DDoS攻击机器人以及恶意软件。虽然这种技术最好与防病毒软件、威胁检测系统以及访问管理系统结合使用，但没有任何组织能够完全摆脱防火墙的防护。了解不同类型的防火墙之间的差异，对于实现有效的保护来说至关重要。

防火墙的作用

在建筑领域，防火墙是一种能够阻止火势蔓延的屏障，它可以将火势控制在某个区域内，防止火势从一层楼或一间房间蔓延到另一层楼或另一间房间。同样的原则也适用于数字防火墙的工作原理。防火墙是一种硬件或软件工具，用于阻止各种威胁，并限制对网络设置的访问。

防火墙就是这样的东西。当试图访问某个组织的网络边界时，所面临的第一个障碍是什么？它们构成了网络架构的外层防护层，能够在大多数恶意程序进入网络环境之前将其阻挡在外。

为了履行这一职责，防火墙会检查所有穿过网络边界的流量。但是，防火墙的职责并非只是让交通顺畅地通过，它还需要判断所传输的数据是否合法。

通过这种方式，防火墙的作用有点类似于夜店的安全人员。如果流量被检测到存在问题，且通过了安全检查，那么该流量就可以进入夜店。反之，则无法进入夜店。

先进的防火墙除了具有过滤功能之外，还具备其他一些功能。例如，它们可以收集数据并生成威胁报告，以提升安全性。有些防火墙还具备负载均衡功能，用于调节网络流量。此外，还有一些防火墙配备了专门用于应对各种威胁的工具。过滤功能是防火墙的主要功能。这是每一款优秀的防火墙的核心功能。

防火墙是如何过滤流量的呢？

回答“防火墙是如何工作的”这个问题时，最好的起点就是区分硬件防火墙和软件防火墙。

硬件防火墙

硬件防火墙与其所保护的设备是独立的。通常情况下，硬件防火墙会采用一种独立的设备形式，比如宽带路由器，这种设备可以连接大量的网络设备。因此，硬件防火墙的防护能力可以轻松扩展。正因如此，硬件防火墙成为保护本地网络的首选方案。

软件防火墙

在需要保护的设备上安装了软件防火墙。Windows Defender是最常见的例子，不过还有许多其他可供选择的解决方案。软件防火墙需要定期安装和更新，并且只能保护单个设备。不过，用户可以通过软件防火墙来轻松自定义过滤设置，从而使其成为一种更精确的解决方案。

硬件和软件防火墙系统都负责过滤数据。这两种系统都有多种形式，且采用不同的过滤方式。下面我们来简要了解一下常见的防火墙类型，以及它们是如何区分合法与恶意流量的。

数据包过滤

包过滤型防火墙是最古老且最简单的防火墙类型。这种防火墙可以是基于硬件的，也可以是基于软件的。通常情况下，这类防火墙会被安装在交换机或网络路由器上。

数据包过滤机制会评估数据包的表面特性。数据包是由传输协议在文件被拆分并在目标设备处重新组装时生成的。每个数据包都包含一个头部。这个头部包含了各种信息，这些信息可以被数据包过滤防火墙用来决定是否允许访问该数据包所包含的内容。

通过数据包过滤防火墙进行筛选的数据包括：

• 互联网协议（IP）地址信息
• 传入数据的源端口和目的端口
• 在传输过程中所使用的传输协议

当进入的流量到达数据包过滤防火墙时，该设备会收集尽可能多的头部信息。然后……将这一信息与预先设定的安全规则进行比较。或者，也可以称之为“访问控制列表”。任何符合这些安全规则的数据包都会被允许通过。如果不符合这些规则，那么数据包将被防火墙拒绝访问，从而无法传输。

数据包过滤型防火墙进行的是相对较为简单的检查过程。不过，这种机制仍然能够保护内部网络的安全。例如：过滤IP地址时，可以允许那些经过批准的设备通过。这可能包括远程工作者或第三方维护团队。如果管理者能够过滤掉那些未知的IP地址，那么就能大大减少潜在的威胁。

除了IP地址过滤之外，数据包过滤器还可以根据需要限制可访问的端口。这样就能有效降低端口扫描带来的风险——而端口扫描正是网络攻击的常见手段之一。

另一方面，数据包过滤器不会打开数据包，也不会检查其中的有效载荷内容。这可能会限制它们的有效性。防火墙还会将经过许可的流量自动转发到可用的端口上。因此，仅仅限制开放端口可能并不足够。

不过，包过滤技术的局限性也可以成为其优点。这种防火墙的资源消耗较小，而且处理速度也更快。在安全性并非最为重要的场景中，这两种特性都十分实用。

电路级网关

电路级网关应专注于数据传输协议，而不是数据包的头部信息。在大多数情况下，这涉及到对传输控制协议（TCP）握手过程的检查。

通过检查TCP握手过程，可以确认数据传输的每一个阶段都是合法的。如果像SYN或ACK这样的握手标志能够正常传输，那么防火墙就会允许访问。反之，防火墙则会拒绝访问，或者要求重新传输数据，以证明数据传输是合法的。

状态检查

状态检查型防火墙在做出决策时，会利用有关数据传输状态的信息来辅助决策。在这种情况下，所谓“状态”指的是数据传输发生的上下文环境。这其中包含的信息远远超过了数据包头部所能提供的信息量。

状态检查型防火墙通常会执行两种过滤操作：

• 数据包检查。状态检查功能会检查进入网络的每一封数据包。防火墙会收集有关传入流量的来源和目的地的信息。它能够识别正在使用的设备、活跃的端口以及传输协议。
• TCP握手过程的验证。防火墙会确保TCP握手过程中的每一阶段都得到正确的执行。这一点适用于入站和出站连接。

来自这两个状态检查阶段的相关数据被添加到状态表中。防火墙会将每个数据包与状态表中包含的数据进行比较。能够更全面地了解那些试图接入该网络的人是谁。

状态检查型防火墙通常比数据包过滤器更加精确且安全。他们利用更多的数据点，并结合历史信息来评估访问请求。同时，他们还为后续的过滤操作提供数据支持。随着时间的推移，防火墙能够更深入地了解网络访问情况，从而做出更明智的决策。

由于状态防火墙设备需要处理更多的数据，因此其运行速度可能会较慢，同时也会消耗更多的网络带宽。用户必须在提高网络安全性的需求与降低运行速度之间做出权衡。

代理服务

这种防火墙也被称为“应用层网关”。它位于网络设备与外部互联网之间。代理防火墙是一种具有独立IP地址的网关设备。这意味着，在代理防火墙批准访问之前，数据不会直接连接到内部资源。

使用代理服务防火墙可以帮你保护网络，从而增加一层额外的安全防护。网络攻击者无法直接访问网络资源。相反，他们必须先通过代理服务器，然后再经过防火墙才能访问网络资源。这样，非法入侵的风险就大大降低了。

代理防火墙同样遵循上述的手工交互和数据包过滤机制来工作。不过，他们可能会加入深度包检查功能（DPI）。在这个过程中，DPI会检查数据包中的数据内容。这样，被感染的数据包就能被识别出来，而那些试图隐藏自己、不被发现的恶意软件也会被清除掉。

虽然代理服务器通常能够提供强大的网络安全保障，但它们也存在一些潜在的局限性：

• 速度因为代理服务器会在网络与互联网之间增加了一个额外的设备，所以代理服务器的使用会影响到网络的传输速度。这对于数字型企业来说可能是一个负担。
• 兼容性一些常见的商业应用程序也不兼容代理防火墙。因此，它们并不总是最理想的防火墙选择。
• 仅在线使用有些代理服务器只能过滤进入网络应用程序的流量。这些代理服务器可能无法处理非网络相关的流量，比如DDoS攻击或DNS查询等。

NAT过滤

在过滤流量时，网络地址转换（NAT）防火墙也是另一种选择。在NAT系统中，所有网络设备都连接到同一个网关。本地设备拥有各自的私有IP地址，但它们共享同一网关的IP地址。

NAT防火墙是这种架构的一部分。它只会在收到NAT系统上的私有IP地址的请求时，才允许进入的Web流量通过。

这种类型的防火墙通常被用于教育领域，因为在这些环境中，屏蔽不合适的网站是非常重要的。不过，NAT防火墙在与外部云或网络应用程序进行交互时可能会遇到一些问题。

下一代防火墙

下一代防火墙是保护私有网络时最先进的解决方案。它们通常被称作多层防火墙，因为它们具有多层防御机制。检查OSI层次2到7之间的通信情况。相比之下，状态防火墙通常会检查第2层到第4层之间的网络流量。

由于NGFW能够在广泛的OSI层范围内进行工作，因此它们能够更细致地过滤网络流量。下一代防火墙能够检查数据包的内容，同时还能利用入侵防御系统提供的情报来辅助过滤过程。

下一代防火墙也如此。从其他来源中整合相关信息比如，IAM软件以及全球范围内的威胁数据库等。这些工具能够更轻松地识别最近出现的恶意软件。同时，它们也有助于区分经过验证的合法用户与可能包含恶意代码的用户。

NGFW是提升网络安全的最佳方式。不过，它们价格较高，同时还会消耗大量的网络资源。因此，这些因素使得NGFW并不适合许多小型组织作为网络安全设备使用。

那么，防火墙究竟是如何保护数据的呢？

您私有网络中的数据需要得到保护，防止来自外部的攻击。无论这些数据是存储在公司的本地服务器上，还是存储在云容器中，都适用这一要求。而保护数据的第一步，就是添加防火墙过滤器，以过滤掉恶意行为者。

防火墙能够阻挡各种网络威胁，从而降低由其他因素带来的风险。

• 拒绝服务攻击.分布式拒绝服务攻击会动员大量机器人来向目标系统发送大量网络流量。这些机器人会持续发起访问请求，同时隐藏自己的真实身份。服务器无法验证这些请求的真实性，但依然会继续发送认证请求。最终，目标系统会被迫关闭。智能防火墙可以在攻击变得严重之前检测到这种分布式拒绝服务攻击，从而保护您的网络免受损害。这样可以降低系统停机以及网络遭受破坏的风险。