防火墙

原创

人称左直拳 2022-08-15 11:50:54 博主文章分类：学习笔记 ©著作权

©著作权归作者所有：来自51CTO博客作者人称左直拳的原创作品，请联系作者获取转载授权，否则将追究法律责任

一、什么是防火墙

防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关(Security Gateway)，从而保护内部网免受非法用户的侵入。

梳理这句话，得到：防火墙由软件和硬件组合，用于构筑内部网络保护屏障（其实也可以指构筑计算机保护屏障）。

防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

二、防火墙的用途

用途其实上面已经说了，就是起保护作用。防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。我们可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是我们自己的保护选择。

防火墙_ip地址

三、防火墙的分类

防火墙的分类方法，主要有以下6种：

1、按软、硬件形式分类：软件防火墙、硬件防火墙、芯片级防火墙。

2、按防火墙技术分类：包过滤型防火墙、应用代理型防火墙。

3、按防火墙结构分类：单一主机防火墙、路由器集成式防火墙、分布式防火墙。

4、按防火墙的应用部署位置分类：边界防火墙、个人防火墙、混合防火墙。

边界防火墙 是最为传统的那种，它们于内、外部网络的边界，所起的作用的对内、外部网络实施隔离，保护边界内部网络。这类防火墙一般都是硬件类型的，价格较贵，性能较好。

个人防火墙 安装于单台主机中，防护的也只是单台主机。这类防火墙应用于广大的个人用户，通常为软件防火墙，价格最便宜，性能也最差。

混合式防火墙 可以说就是“分布式防火墙”或者“嵌入式防火墙”，它是一整套防火墙系统，由若干个软、硬件组件组成，分布于内、外部网络边界和内部各主机之间，既对内、外部网络之间通信进行过滤，又对网络内部各主机间的通信进行过滤。它属于最新的防火墙技术之一，性能最好，价格也最贵。

5、按防火墙性能分类：百兆级防火墙、千兆级防火墙。

6、按防火墙使用方法分类：网络层防火墙、物理层防火墙、链路层防火墙。

四、防火墙的配置方式

防火墙配置方式主要有3种：

1、Dual-homed方式（双宿）

Dual-homed方式最简单。 Dual-homed Gateway(双宿主网关)放置在两个网络之间，这个双宿主网关也称为bastionhost（堡垒机）。这种结构成本低，不过它有单点失败的问题。

这种结构没有增加网络安全的自我防卫能力，而它往往是受“黑客”攻击的首选目标，它自己一旦被攻破，整个网络也就暴露了。

2、Screened-host方式（屏蔽主机）

Screened-host方式中的Screeningrouter(筛选路由器)为保护Bastionhost（堡垒机）的安全建立了一道屏障。它将所有进入的信息先送往Bastionhost，并且只接受来自Bastionhost的数据作为出去的数据。

这种结构依赖Screeningrouter和Bastionhost，只要有一个失败，整个网络就暴露了。

3、Screened-subnet方式（屏蔽子网）

Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网，称之为”停火区”（DMZ，即Demilitarized Zone），Bastionhost放置在“停火区”内。

这种结构安全性好，只有当两个安全单元被破坏后，网络才被暴露，但是成本也很昂贵。

五、防火墙的工作模式

防火墙是为加强网络安全防护能力在网络中部署的硬件设备，有多种部署方式，常见的主要有以下几种方式。

1、桥模式
桥模式也可叫作透明模式。客户端和服务器处于同一网段，为了安全方面的考虑，在客户端和服务器之间增加防火墙设备，对经过的流量进行安全控制。正常的客户端请求通过防火墙送达服务器，服务器将响应返回给客户端，用户不会感觉到中间设备的存在。工作在桥模式下的防火墙没有IP地址，当对网络进行扩容时无需对网络地址进行重新规划，但牺牲了路由、VPN等功能。

2、网关模式
网关模式适用于内外网不在同一网段的情况，防火墙设置网关地址实现路由器的功能，为不同网段进行路由转发。网关模式相比桥模式具备更高的安全性，在进行访问控制的同时实现了安全隔离，具备了一定的私密性。

3、NAT模式
NAT(Network Address Translation)地址翻译技术由防火墙对内部网络的IP地址进行地址翻译，使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后，防火墙再将目的地址替换为内部网络的源地址。NAT模式能够实现外部网络不能直接看到内部网络的IP地址，进一步增强了对内部网络的安全防护。同时，在NAT模式的网络中，内部网络可以使用私网地址，可以解决IP地址数量受限的问题。

4、高可靠性设计
防火墙都部署在网络的出入口，是网络通信的大门，这就要求防火墙的部署必须具备高可靠性。一般IT设备的使用寿命被设计为3至5年，当单点设备发生故障时，要通过冗余技术实现可靠性，可以通过如虚拟路由冗余协议(VRRP)等技术实现主备冗余。目前，主流的网络设备都支持高可靠性设计。

参考文章
防火墙是如何分类的按防火墙的应用部署位置分类防火墙配置模式防火墙的常见部署方式有哪几种