文章插圖
防火墻概述
“防火墻”一詞起源于建筑領(lǐng)域，用來(lái)隔離火災(zāi)，阻止火勢(shì)從一個(gè)區(qū)域蔓延到另一個(gè)區(qū)域 。引入到通信領(lǐng)域，防火墻這一具體設(shè)備通常用于兩個(gè)網(wǎng)絡(luò)之間有針對(duì)性的、邏輯意義上的隔離 。這種隔離是選擇性的，隔離“火”的蔓延，而又保證“人”可以穿墻而過(guò) 。這里的“火”是指網(wǎng)絡(luò)中的各種攻擊，而“人”是指正常的通信報(bào)文 。
為什么需要防火墻？
安全無(wú)處不在 。路由器和交換機(jī)構(gòu)建了互聯(lián)互通的網(wǎng)絡(luò)，帶來(lái)便利的同時(shí)也帶來(lái)了安全隱患 。
例如在網(wǎng)絡(luò)邊界，企業(yè)有了如下安全訴求：
外部網(wǎng)絡(luò)安全隔離 內(nèi)部網(wǎng)絡(luò)安全管控 內(nèi)容安全過(guò)濾 入侵防御 防病毒什么是防火墻？
在通信領(lǐng)域，防火墻是一種安全設(shè)備 。它用于保護(hù)一個(gè)網(wǎng)絡(luò)區(qū)域免受來(lái)自另一個(gè)網(wǎng)絡(luò)區(qū)域的攻擊和入侵，通常被應(yīng)用于網(wǎng)絡(luò)邊界，例如企業(yè)互聯(lián)網(wǎng)出口、企業(yè)內(nèi)部業(yè)務(wù)邊界、數(shù)據(jù)中心邊界等 。
防火墻根據(jù)設(shè)備形態(tài)分為，框式防火墻、盒式防火墻和軟件防火墻，支持在云上云下靈活部署 。
嚴(yán)格意義上，防火墻還有更多的部署形態(tài)，例如桌面型防火墻（盒式防火墻的一種） 。桌面型防火墻適用于小型企業(yè)、行業(yè)分支、連鎖商業(yè)機(jī)構(gòu)等場(chǎng)景 。華為盒式防火墻同時(shí)支持傳統(tǒng)模式和云管理模式 。云管理模式由云端統(tǒng)一管理分支機(jī)構(gòu)的安全接入，支持設(shè)備即插即用、業(yè)務(wù)配置自動(dòng)化、運(yùn)維可視化和網(wǎng)絡(luò)大數(shù)據(jù)分析 。
防火墻與交換機(jī)、路由器功能對(duì)比
以園區(qū)網(wǎng)為例，交換機(jī)作用是接入終端和匯聚內(nèi)部路由，組建內(nèi)部互聯(lián)互通的局域網(wǎng) 。
路由器作用是路由的分發(fā)、尋址和轉(zhuǎn)發(fā)，構(gòu)建外部連接網(wǎng)絡(luò) 。
防火墻作用是流量控制和安全防護(hù)，區(qū)分和隔離不同安全區(qū)域 。
防火墻與路由器轉(zhuǎn)發(fā)流程對(duì)比
防火墻的轉(zhuǎn)發(fā)流程比路由器復(fù)雜 。以框式設(shè)備為例，硬件上除了接口、LPU（Line Processing Unit）、交換網(wǎng)板等外，防火墻還特有SPU（Service Processing Unit），用于實(shí)現(xiàn)防火墻的安全功能 。
防火墻的典型應(yīng)用場(chǎng)景
DMZ（Demilitarized Zone）起源于軍方，是介于嚴(yán)格的軍事管制區(qū)和松散的公共區(qū)域之間的一種有著部分管制的區(qū)域 。防火墻設(shè)備引用了這一術(shù)語(yǔ)，指代一個(gè)邏輯上和物理上都與內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)分離的安全區(qū)域 。在企業(yè)中一般用于服務(wù)器的放置 。
數(shù)據(jù)中心網(wǎng)絡(luò)一般采用Spine-Leaf架構(gòu) 。Spine為骨干節(jié)點(diǎn)負(fù)責(zé)流量高速轉(zhuǎn)發(fā)，Leaf為葉子節(jié)點(diǎn)負(fù)責(zé)服務(wù)器、防火墻或其他設(shè)備接入 。Spine-Leaf之間全三層互聯(lián) 。
防火墻的發(fā)展歷程
縱觀防火墻的發(fā)展歷史，防火墻經(jīng)歷了從低級(jí)到高級(jí)、從功能簡(jiǎn)單到功能復(fù)雜的過(guò)程 。網(wǎng)絡(luò)技術(shù)的不斷發(fā)展和新需求的不斷提出，推動(dòng)著防火墻的發(fā)展 。
防火墻從包過(guò)濾防火墻發(fā)展起經(jīng)歷了狀態(tài)檢測(cè)、統(tǒng)一威脅管理、NGFW等到AI防火墻，有以下特點(diǎn)：
訪問(wèn)控制越來(lái)越精細(xì)防護(hù)能力越來(lái)越強(qiáng)性能越來(lái)越高包過(guò)濾防火墻
包過(guò)濾是指基于五元組對(duì)每個(gè)數(shù)據(jù)包進(jìn)行檢測(cè)，根據(jù)配置的安全策略轉(zhuǎn)發(fā)或丟棄數(shù)據(jù)包 。
包過(guò)濾防火墻的基本原理是：通過(guò)配置訪問(wèn)控制列表（Access Control List，ACL）實(shí)施數(shù)據(jù)包的過(guò)濾 。
包過(guò)濾防火墻主要基于數(shù)據(jù)包中的源/目的IP地址、源/目的端口號(hào)、IP 標(biāo)識(shí)和報(bào)文傳遞的方向等信息 。
包過(guò)濾防火墻的設(shè)計(jì)簡(jiǎn)單，非常易于實(shí)現(xiàn)，而且價(jià)格便宜 。
包過(guò)濾防火墻的缺點(diǎn)主要表現(xiàn)以下幾點(diǎn)：
隨著ACL復(fù)雜度和長(zhǎng)度的增加，其過(guò)濾性能呈指數(shù)下降； 靜態(tài)的ACL規(guī)則難以適應(yīng)動(dòng)態(tài)的安全要求； 包過(guò)濾不檢查會(huì)話狀態(tài)也不分析數(shù)據(jù)，這很容易讓黑客蒙混過(guò)關(guān) 。例如，攻擊者可以使用假冒地址進(jìn)行欺騙，通過(guò)把自己主機(jī)IP地址設(shè)成一個(gè)合法主機(jī)IP地址，就能很輕易地通過(guò)報(bào)文過(guò)濾器 。狀態(tài)檢測(cè)防火墻

以上關(guān)于本文的內(nèi)容，僅作參考！溫馨提示：如遇健康、疾病相關(guān)的問(wèn)題，請(qǐng)您及時(shí)就醫(yī)或請(qǐng)專業(yè)人士給予相關(guān)指導(dǎo)!

「愛刨根生活網(wǎng)」www.malaban59.cn小編還為您精選了以下內(nèi)容，希望對(duì)您有所幫助：

• 安全工器具包括哪些
• 最火的聊天賺錢軟件app 聊天賺錢軟件哪個(gè)賺錢多又安全
• 男人缺乏安全感的表現(xiàn)
• 踏板操的安全守則
• 含鉛玻璃杯安全嗎
• 2021年網(wǎng)絡(luò)安全宣傳周活動(dòng)主題
• 常用來(lái)指導(dǎo)企業(yè)安全工作的理論有
• 科學(xué)健康飲食的3個(gè)原則,夏季食用飲料的安全小常識(shí),春季飲食安全的5個(gè)準(zhǔn)則
• 東莞請(qǐng)個(gè)保姆要多少錢一個(gè)月?怎么請(qǐng)個(gè)安全保姆? 東莞做飯阿姨一個(gè)月多少錢
• 安全帶檢驗(yàn)周期