在介绍防火墙功能之前，先简单介绍下防火墙一词的前世今生。防火墙一词源于一种古代的消防建筑。在古代，由于房屋通常是木质结构，一旦失火极易蔓延，造成大量生命财产损失。为了在火灾时隔断火势的传播，人们把结实的石块叠起来，围绕着房子筑起了一堵墙，以此为屏障，这种防护构筑物称为防火墙。时至今日，防火墙一词被引入通信领域中。因为在网络（内部网络）与网络（外部网络）之间存在着安全入侵和威胁，所以人们也需要在网络之间设置一道防火墙。在网络领域中，防火墙可以是由独立的硬件与软件组合而成的硬件防火墙，也可以是嵌入到其他设备系统的软件防火墙。其本质是将内部网络与外部网络隔离开来的一道防御系统，它会对流经防火墙的数据进行安全审查，只有经过防火墙授权的数据才被允许访问内部网络，从而保护内部网络免受非法用户的攻击和入侵。如今，防火墙已然成为保护网络数据安全不可或缺的一种手段。图1-1 防火墙数据访问示意图二、 防火墙主要功能当面临大量的网络攻击时，防火墙能够作为网络安全防护的第一道屏障，不被非法获取或破坏，依靠的是丰富的安全功能。由于不同安全厂商间的防火墙产品在支持的功能上有所差异，因此，本文仅介绍一些通用的防火墙功能，包括基础的防火墙功能和高级功能。2.1 基础防火墙功能本节将介绍如下基础防火墙功能：访问控制
NAT
日志记录与监控
2.1.1 访问控制访问控制是防火墙常见的功能，它主要通过包过滤来实现。包过滤将检查转发报文的报文头信息，包括源IP地址、目的IP地址、源端口号、目的端口号及协议类型（即五元组）。当用户在防火墙设置了过滤规则后，会在防火墙中形成一个过滤规则表，规则匹配的动作是允许（Permit）或拒绝（Deny）。报文进入防火墙时，防火墙会根据报文的头部信息与过滤规则表进行逐条比对，根据对比的结果来决定是否允许数据包通过。图中IP报文2未能匹配过滤规则2被拒绝通过，而IP报文1和3符合匹配规则被放行通过。图2-1 包过滤访问控制示意图2.1.2 NATNAT（Network Address Translation，网络地址转换）是指将一个IP地址转换为另一个IP地址的过程，主要用于实现内部网络访问外部网络的功能。由于防火墙大多部署在企业网络的边界出口，用于与外部的Internet网络隔离，内部用户想要访问互联网通常需要借助防火墙的NAT功能。不同的NAT适用于不同场景，这里仅介绍最常用的源NAT地址转换。源NAT主要是对IP报文的源地址进行转换，将用户的私网IP地址转换为公网IP地址，这样能使众多的私网用户利用少量的公网地址即可访问Internet，有助于减缓可用IP地址空间的枯竭。图2-2 源NAT转换示意图2.1.3 日志记录当报文到达防火墙时，防火墙会扫描报文并根据配置的防火墙策略执行动作，这些动作包括允许或拒绝报文通过。防火墙此时会将事件记录在日志当中，这些日志在监控内部网络与Internet之间的流量信息、识别非法的访问连接等流量审计活动中能够发挥重要作用。防火墙通常支持本地保存日志，或是将日志保存在内网专门存放日志的服务器里。图2-3 防火墙日志记录示意图2.2 高级防火墙功能本节将介绍如下高级防火墙功能：IPSec/SSL VPN
安全攻击防范
双机热备功能
2.2.1 IPSec/SSL VPN防火墙支持多种VPN（Virtual Private Network，虚拟专用网络）的接入，并支持用IPSec（IP Security，IP安全）和SSL（Secure Socket Layer，安全套接层）来加密数据。IPSec通常被应用在站点到站点之间VPN数据加密，如总部的内部主机和和分公司主机存在通信需求时，此时分公司设备可和总部的防火墙建立IPSec VPN连接以接入总部内部主机。而SSL VPN更多地应用在企业用户的移动远程办公接入中，移动办公人员通过SSL VPN连接来接入总部办公系统，邮件系统等。图2-4 防火墙IPSec VPN接入示意图2.2.2 安全攻击防范防火墙的安全攻击防范主要是对应用层的业务实施保护，以避免报文受到安全侵害。安全攻击防范主要可以分为三种类型：病毒防护：防火墙一般有内置防病毒库，对木马病毒、蠕虫病毒等常见病毒文件进行检测，使得携带病毒的报文无法接入内部网络。
入侵防御：防火墙入侵防御功能通过预先定义的防御规则，对进入防火墙的报文会与入侵防御特征库相匹配，以此来抵御常见的攻击行为。
拒绝服务攻击（DoS，Denial of Service）通过未完成的TCP/IP请求连接大量占用主机会话资源使主机最终崩溃，而防火墙会针对这些不正常的TCP/IP连接进行监控，并设定连接数阈值，一旦接入连接数超过该阈值就会关闭它们，从而抵御外部DoS的攻击。
2.2.3 双机热备由于防火墙多部署于企业网络的出口，内外网之间的业务都要通过防火墙进行转发。若防火墙出现宕机将造成业务中断，因此，防火墙的可靠性就显得格外重要。为了更好地应对单机设备运行的风险，防火墙通过使用双机热备技术实现冗余功能，类似于虚拟路由冗余协议（VRRP，Virtual Router Redundancy Protocol），当局域网内承担路由转发功能的设备失效后，另一台将自动接管，从而实现IP路由的热备份与容错。双机热备技术可以将一组防火墙虚拟成一台防火墙。其中，仅有一台防火墙可以处于活动，称为主设备（Active），其余称为备设备（Backup）。防火墙可通过此技术实现将配置和会话表（协议的连接状态表）信息的同步，若主防火墙发生故障，备防火墙可以平滑的接替，保障网络的稳定运行。图2-5 防火墙主备切换示意图三、防火墙的分类防火墙从软硬件形式上来分类可以分为为软件防火墙和硬件防火墙和芯片级防火墙：硬件防火墙：基于PC架构，在PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的老版本的Unix、Linux和FreeBCD系统。
软件防火墙：运行在特定的计算机上，需要预先安装好的计算机操作系统的支持，也是个人防火墙，一般来说这台计算机就是整个网络的网关。
芯片级防火墙：基于专门的硬件平台，没有操作系统，因有专用的ASIC芯片比其他种类的防火墙速度更快，处理能力更强，性能更高。
从技术上来说，防火墙技术可根据防范的方式和侧重点的不同而分为很多种类型，但总体来讲可分为包过滤、应用级网关和代理服务器等几大类型。数据包过滤型防火墙：数据包过滤技术是在网络层对数据包进行选择，选择的依据是系统内设置的过滤逻辑，被称为访问控制表。通过检查数据流中每个数据包的源地址、目的地址、所用的端口号、协议状态等因素，或它们的组合来确定是否允许该数据包通过。
应用级网关防火墙：应用级网关是在网络应用层上建立协议过滤和转发功能。它针对特定的网络应用服务协议使用指定的数据过滤逻辑，并在过滤的同时，对数据包进行必要的分析、登记和统计，形成报告。实际中的应用网关通常安装在专用工作站系统上。
代理服务器防火墙：代理服务也称链路级网关或TCP通道。它是针对数据包过滤和应用网关技术存在的缺点而引入的防火墙技术，其特点是将所有跨越防火墙的网络通信链路分为两段。防火墙内外计算机系统间应用层的“链接”，由两个终止代理服务器上的“链接”来实现，外部计算机的网络链路只能到达代理服务器，从而起到了隔离防火墙内外计算机系统的作用。
复合型防火墙：由于对更高安全性的要求，常把基于包过滤的方法与基于应用代理的方法合起来，形成复合型防火墙产品。
四、总结在互联网日益发展的今天，开放式网络受到的安全威胁日益增多，为了提高网络的安全性，越来越多的用户选择了部署防火墙。通过对防火墙功能的灵活运用，可以有效地保证网络安全和信息安全，保障网络正常运行，为人们提供良好的上网环境。本文由 @夜归人 发布于弱电智能网
。
题图来自Unsplash，基于CC0协议内容观点仅代表作者本人，弱电智能网平台仅提供信息存储空间服务。如若本站内容侵犯了原著者的合法权益，可联系我们进行处理。文章名称:《一篇文章让你彻底了解防火墙主要功能和分类》文章链接:https://www.ruodian360.com/tech/networking/35888.html添加微信ydian188免费入群,记得备注“弱电智能网”。}

防火墙介绍1.什么是防火墙防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障，是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与intranet之间建立起一个安全网关(Security Gateway)，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。2.防火墙的功能1）过滤进出网络的数据2）管理进出访问网络的行为3）禁止某些业务4）记录通过防火墙信息和内容5）对网络攻击检测和告警3.为什么使用防火墙防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。局域网内部，不连接互联网外网的一般是不需要防火墙，监控单独一个网络的时候才需要，一般都接在局域网内，通过路由器处的防火墙，而大型网络连接外网的，是需要防火墙的。状态防火墙工作原理？1.状态防火墙介绍状态检测防火墙采用了状态检测包过滤的技术，是传统包过滤上的功能扩展。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息，并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案，同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务，它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚连接，当反向应答分组送达时，就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性，不仅仅检测“to”和“from”的地址，而且不要求每个访问的应用都有代理。2.工作原理状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为3.状态防火墙的优点1）安全性好2）性能高效3）扩展性好4）配置方便，应用范围广4.缺点状态检测防火墙虽然继承了包过滤防火墙和应用网关防火墙的优点，克服了它们的缺点，但它仍只是检测数据包的第三层信息，无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。防火墙如何处理双通道协议？ASPF概述：ASPF( Application Specific Packet Filter) 是一种高级通信过滤，它检查应用层协议信息并且监控应用层协议状态。对于特定应用协议的所有连接，每一个连接状态信息都将被ASPF维护并用于动态的决定数据包是否被允许通过防火墙或丢弃。ASPF是针对应用层的包过滤。在多通道协议中，如FTP，控制通道和数据通道是分开的。数据通道是在控制报文中动态协商出来的。为了避免协商出来的通道不因其他规则的限制（如ACL）而中断，需要临时开启一个通道，ServerMap表就是为了满足这种应用而设计的一种数据结构。从图中可以看出，ServerMap表项是对FTP控制通道中动态监测过程中产生的。当报文通过防火墙时，ASPF将报文与指定的访问规则进行比较，如果规则允许，报文将接受检查，否则报文将被直接丢弃。如果该报文时用于打开一个新的控制连接或数据连接，ASPF将动态的产生ServerMap表项，对于回来的报文只有是属于一个已经存在的有效连接才会被允许通过防火墙。在处理回来的报文时，状态表也需要更新。当一个连接被关闭或超时后，该连接对应的状态表将被删除，确保未经授权的报文不能穿过防火墙。ServerMap是一种映射关系，当数据连接匹配了动态ServerMap表项时，不需要再查找包过滤策略，保证了某些特殊应用的正常转发。ServerMap通常只是用来检查首个报文，通道建立后的报文还是根据会话表来转发。防火墙如何处理nat？1.根据转化方式的不同，NAT可以分为三类：1）源NAT，源地址转化的NAT。有：NO—PAT, NAPT, Easy_ip,Smart_nat, 三元组NAT2）目的NAT：将目的地址做转化。有：NAT-Server， SLB3）双向NAT：即做源地址转化，又做目的地址转化2.NAT策略分类（1）NAT No-PATNAT No-PAT类似于Cisco的动态转换，只转换源IP地址，不转换端口，属于多对多转换，不能节约公网IP地址，实际情况下使用较少，主要适用于需要上网的用户较少，而公网地址又足够的场景下（2）NAPTNAPT （Network Address and Port Translation，网络地址和端口转换）类似于Cisco的PAT 转换，NAPT既转换报文的源地址，又转换源端口，转换后的地址不能是外网接口IP地址，属于多对多或多对一转换，可以节约IP地址，使用场景较多，主要适用于内部大量用户需要上网，同时仅有少数几个公网IP地址可用的场景下（3）Easy-IP出接口地址（Easy-IP）因其转换方式非常简单，所以也称为Easy-IP，和NAPT一样，既转换源IP地址，又转换源端口，区别是出接口地址方式转换后的地址只能是NAT设备外网接口所配置的IP地址，属于多对一转换，可以节约IP地址，主要适用于没有额外的公网地址可用，内部上网用户非常多的场景下，直接通过外网接口本身的IP地址作为转换目标（4）Smart NATSmart NAT（智能转换）通过预留一个公网地址进行 NAPT 转换，而其他的公网地址用来进行NAT No-PAT转换，其主要用于平时上网用户比较少，而申请的公网地址基本可以满足这些少量用户进行NAT No-PAT转换，但是偶尔会出现上网用户倍增的情况下（5）三元组NAT三元组NAT是与源IP地址、源端口和协议类型有关的一种转换，将源IP地址和源端口转换为固定公网IP地址和端口，能解决一些特殊应用在普通NAT中无法实现的问题，其主要用于外部用户访问局域网用户的一些P2P应用3.NAT策略组成NAT策略由转换后的地址（地址池地址或者出接口地址）、匹配条件、动作三部分组成地址池类型包括源地址池（NAT No-PAT、NAPT、三元组NAT、Smart NAT）和目的地址池，根据NAT转换方式的不同，可以选择不同类型的地址池或者出接口方式匹配条件包括源地址、目的地址、源安全区域、目的安全区域、出接口、服务、时间段，根据不同的需求配置不同的匹配条件，对匹配上条件的流量进行NAT转换动作包括源地址转换或者目的地址转换，无论源地址转换或者目的地址转换，都可以对匹配上条件的流量进行选择NAT转换或者不转换两种方式4.NAT匹配规则如果创建了多条NAT策略，设备会从上到下依次进行匹配，如果流量匹配了某个NAT策略，进行NAT转换后，将不再进行下一个NAT策略的匹配，双向NAT策略和目的NAT策略会在源NAT策略的前面，双向NAT策略和目的NAT策略之间按配置先后顺序排列，源NAT策略也按配置先后顺序排列，新增的策略和被修改NAT动作的策略都会被调整到同类NAT策略的最后面，NAT策略的匹配顺序可根据需要进行调整，但是源NAT策略不允许调整到双向NAT策略和目的NAT策略之前5.NAT处理流程不同的NAT类型对应不同的NAT策略，在华为防火墙上处理顺序不同华为防火墙收到报文后，查找NAT Server生成的Server-Map表，如果报文匹配到Server-Map表，则根据表项转换报文的目的地址，然后进行步骤4处理，如果报文没有匹配到Server-Map表，则进行步骤2处理查找基于ACL的目的NAT，如果报文符合匹配条件，则转换报文的目的地址，然后进行步骤4处理，如果报文不符合基于ACL的目的NAT的匹配条件，则进行步骤3处理查找NAT策略中目的NAT，如果报文符合匹配条件，则转换报文的目的地址后进行路由处理，如果报文不符合目的NAT的匹配条件，则直接进行路由处理根据报文当前的信息查找路由（包括策略路由），如果找到路由，则进入步骤5处理，如果没有找到路由，则丢弃报文查找安全策略，如果安全策略允许报文通过且之前并未匹配过NAT策略（目的NAT或者双向NAT），则进行步骤6处理，如果安全策略允许报文通过且之前匹配过双向NAT，则直接进行源地址转换，然后创建会话并进入步骤7处理，如果安全策略允许报文通过且之前匹配过目的NAT，则直接创建会话，然后进行步骤7处理，如果安全策略不允许报文通过，则丢弃报文查找NAT策略中源NAT，如果报文符合源NAT的匹配条件，则转换报文的源地址，然后创建会话，如果报文不符合源NAT的匹配条件，则直接创建会话华为防火墙发送报文NAT策略中目的NAT会在路由和安全策略之前处理，NAT策略中源NAT会在路由和安全策略之后处理，因此，配置路由和安全策略的源地址是NAT转换前的源地址，配置路由和安全策略的目的地址是NAT转换后目的地址你知道那些防火墙？以及防火墙的技术分类？防火墙技术可根据防范的方式和侧重点的不同，而分为多种类型，但总体上来讲，可分为“包过滤防火墙、代理防火墙、状态防火墙”三大类包过滤防火墙--------访问控制列表技术----三层技术包过滤防火墙在TCP/IP四层架构下的IP层中运作。它检查通过的IP数据封包，并进一步处理。主要的处理方式有:放行、丢弃或拒绝，以达到保护自身网络的目的。 包过滤技术在网络层中对数据包进行有选择的处理。它根据系统内预先设定的过滤规则，对数据流中每个数据包进行检查后，根据数据包的源地址、目的地址、TCP/UDP源端口号、TCP/UDP目的端口号以及数据包头中的各种标志位等信息来确定是否允许数据包通过。包过滤防火墙的应用主要有三类：一是路由设备在进行路由选择和数据转发的同时进行包过滤；二是在工作站上使用专门的软件进行包过滤；三是在一种称为屏蔽路由器的路由设备上启动包过滤功能。包过滤防火墙的优点是它对用户而言是透明的，即用户不需要用户名和密码就可以登录。其缺点是没有记录用户的使用记录，这样用户就不能从访问记录中发现攻击记录。代理防火墙---------中间人技术-------应用层技术代理服务器防火墙是针对每一种应用服务程序进行代理服务的工作。一方面代替原来的客户建立连接，另一方面代替原来的客户程序，与服务器建立连接。它可确保数据的完整性，只有特定的服务才会被交换;还可进行高阶的存取控制，并可对其内容进行过滤。 代理服务器技术作用在应用层，对应用层服务进行控制，可起到内部网络向外部网络交流服务时中间转接的作用。内部网络只接受代理提出的服务请求，拒绝外部网络其他节点的直接请求。通常情况下，代理服务器可应用于特定的Internet服务，如HTTP、FTP等服务。代理服务器一般都有高速缓存，缓存中保存了用户经常访问的页面。当下一个用户要访问同样的页面时，服务器就可以直接将该页面发给用户，从而节约了时间和网络资源。 亿速云为用户提供安全防护、专业抗DDoS攻击的“高防服务器、高防香港服务器、高防裸金属服务器”，采用“智能硬件防火墙 + 流量牵引技术”，并为用户配置相对应的高防IP，在用户面临DDoS攻击时，可精准识别出恶意流量，并将恶意流量引流到高防IP。恶意流量在高防IP上进行清洗、过滤后，高防IP会将正常流量返回给源站IP，从而达到“防御DDoS攻击，保证用户网站正常稳定运行”的目的。状态防火墙--------会话追踪技术-------三层、四层状态防火墙（英语：Stateful firewall），一种能够提供状态数据包检查（stateful packet inspection，缩写为SPI）或状态查看（stateful inspection）功能的防火墙，能够持续追踪穿过这个防火墙的各种网络连接（例如TCP与UDP连接）的状态。这种防火墙被设计来区分不同连接种类下的合法数据包。只有匹配主动连接的数据包才能够被允许穿过防火墙，其他的数据包都会被拒绝。 这种防火墙也可以提供动态数据包过滤（Dynamic Packet Filtering）的功能。}