一、防火墻是什么？

防火墻（Firewall），也稱防護墻，是由Check Point創立者Gil Shwed于1993年發明并引入國際互聯網（US5606668（A）1993-12-15），它是一種位于內部網路與外部網路之間的網路安全系統，一項資訊安全的防護系統，依照特定的規則，允許或是限制傳輸的資料通過，——搜狗百科

通過防火墻還能夠對資訊資料的流量實施有效查看，并且還能夠對資料資訊的上傳和下載速度進行掌握，便于用戶對計算機使用的情況具有良好的控制判斷，計算機的內部情況也可以通過這種防火墻進行查看，還具有啟動與關閉程式的功能，而計算機系統的內部中具有的日志功能，其實也是防火墻對計算機的內部系統實時安全情況與每日流量情況進行的總結和整理，——百度百科

二、防火墻的分類

1.包過濾防火墻

定義：在Linux系統下,包過濾功能是內建于核心的（作為一個核心模塊，或者直接內建），同時還有一些可以運用于資料包之上的技巧，不過最常用的依然是查看包頭以決定包的命運，

作業機制：包過濾防火墻將對每一個接收到的包做出允許或拒絕的決定，具體地講，它針對每一個資料包的包頭，按照包過濾規則進行判定，與規則相匹配的包依據路由資訊繼續轉發，否則就丟棄，包過濾（IP層實作）根據資料包的源IP地址、目的IP地址、協議型別（TCP包、UDP包、ICMP包）、源埠、目的埠等包頭資訊及資料包傳輸方向等資訊來判斷是否允許資料包通過，其核心技術就是控制訪問串列

優點：速度比較快，能夠處理的并發連接比較多

缺點：①無法關聯資料包之間的關系，需要設定額外的規則（導致路由器的過濾規則的設定和配置復雜繁瑣）

②無法適應多通道協議，如果額外的連接都是固定埠，可以設定額外的規則

③通常不檢查應用層資料（無法發現基于應用層的攻擊）

④無法阻止ip欺騙

⑤實施的是靜態的、固定的控制，不能跟蹤TCP狀態

⑥不支持用戶認證

2.代理防火墻

定義：這種防火墻通過一種代理（Proxy）技術參與到一個TCP連接的全程序，從內部發出的資料包經過這樣的防火墻處理后，就好像是源于防火墻外部網卡一樣，從而可以達到隱藏內部網結構的作用，這種型別的防火墻被網路安全專家和媒體公認為是最安全的防火墻，

作業機制：代理服務器作為一個為用戶保密或者突破訪問限制的資料轉發通道，在網路上應用廣泛，我們都知道，一個完整的代理設備包含一個服務端和客戶端，服務端接收來自用戶的請求，呼叫自身的客戶端模擬一個基于用戶請求的連接到目標服務器，再把目標服務器回傳的資料轉發給用戶，完成一次代理作業程序，那么，如果在一臺代理設備的服務端和客戶端之間連接一個過濾措施呢？這樣的思想便造就了“應用代理”防火墻，這種防火墻實際上就是一臺小型的帶有資料檢測過濾功能的透明代理服務器（Transparent Proxy），但是它并不是單純的在一個代理設備中嵌入包過濾技術，而是一種被稱為“應用協議分析”（Application Protocol Analysis）的新技術，

“應用協議分析”技術作業在OSI模型的最高層——應用層上，在這一層里能接觸到的所有資料都是最終形式，也就是說，防火墻“看到”的資料和我們看到的是一樣的，而不是一個個帶著地址埠協議等原始內容的資料包，因而它可以實作更高級的資料檢測程序，整個代理防火墻把自身映射為一條透明線路，在用戶方面和外界線路看來，它們之間的連接并沒有任何阻礙，但是這個連接的資料收發實際上是經過了代理防火墻轉向的，當外界資料進入代理防火墻的客戶端時，“應用協議分析”模塊便根據應用層協議處理這個資料，通過預置的處理規則（沒錯，又是規則，防火墻離不開規則）查詢這個資料是否帶有危害，由于這一層面對的已經不再是組合有限的報文協議，甚至可以識別類似于“GET> /sql.asp?id=1 and> 1”的資料內容，所以防火墻不僅能根據資料層提供的資訊判斷資料，更能像管理員分析服務器日志那樣“看”內容辨危害，而且由于作業在應用層，防火墻還可以實作雙向限制，在過濾外部網路有害資料的同時也監控著內部網路的資訊，管理員可以配置防火墻實作一個身份驗證和連接時限的功能，進一步防止內部網路資訊泄漏的隱患，最后，由于代理防火墻采取是代理機制進行作業，內外部網路之間的通信都需先經過代理服務器審核，通過后再由代理服務器連接，根本沒有給分隔在內外部網路兩邊的計算機直接會話的機會，可以避免入侵者使用“資料驅動”攻擊方式（一種能通過包過濾技術防火墻規則的資料報文，但是當它進入計算機處理后，卻變成能夠修改系統設定和用戶資料的惡意代碼）滲透內部網路，可以說，“應用代理”是比包過濾技術更完善的防火墻技術，

優點：采用代理機制作業，內外部通信需要經過代理服務器審核，可以實作更高級的資料檢測程序，

缺點：①處理速度比較慢，能夠處理的并發數比較少 ②升級困難

3.狀態檢測防火墻

定義：狀態檢測防火墻在網路層有一個檢查引擎截獲資料包并抽取出與應用層狀態有關的資訊，并以此為依據決定對該連接是接受還是拒絕，這種技術具有較好的適應性和擴展性，狀態檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性，不僅僅檢測“to”和“from”的地址，而且不要求每個訪問的應用都有代理，

作業機制：這是第三代防火墻技術，能對網路通信的各層實行檢測，同包過濾技術一樣，它能夠檢測通過IP地址、埠號以及TCP標記，過濾進出的資料包，它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應用層有關的代理，而是依靠某種演算法來識別進出的應用層資料，這些演算法通過己知合法資料包的模式來比較進出資料包，這樣從理論上就能比應用級代理在過濾資料包上更有效，狀態監視器的監視模塊支持多種協議和應用程式，可方便地實作應用和服務的擴充，此外，它還可監測RPC和UDP埠資訊，而包過濾和代理都不支持此類埠，這樣，通過對各層進行監測，狀態監視器實作網路安全的目的，目前，多使用狀態監測防火墻，它對用戶透明，在OSI最高層上加密資料，而無需修改客戶端程式，也無需對每個需在防火墻上運行的服務額外增加一個代理，

優點：
① 安全性好

狀態檢測防火墻作業在資料鏈路層和網路層之間，它從這里截取資料包，因為資料鏈路層是網卡作業的真正位置，網路層是協議堆疊的第一層，這樣防火墻確保了截取和檢查所有通過網路的原始資料包，防火墻截取到資料包就處理它們，首先根據安全策略從資料包中提取有用資訊，保存在記憶體中；然后將相關資訊組合起來，進行一些邏輯或數學運算，獲得相應的結論，進行相應的操作，如允許資料包通過、拒絕資料包、認證連接、加密資料等，狀態檢測防火墻雖然作業在協議堆疊較低層，但它檢測所有應用層的資料包，從中提取有用資訊，如IP地址、埠號等，這樣安全性得到很大提高，

②.性能高效

狀態檢測防火墻作業在協議堆疊的較低層，通過防火墻的所有的資料包都在低層處理，而不需要協議堆疊的上層處理任何資料包，這樣減少了高層協議頭的開銷，執行效率提高很多；另外在這種防火墻中一旦一個連接建立起來，就不用再對這個連接做更多作業，系統可以去處理別的連接，執行效率明顯提高，

③ 擴展性好

狀態檢測防火墻不像應用網關式防火墻那樣，每一個應用對應一個服務程式，這樣所能提供的服務是有限的，而且當增加一個新的服務時，必須為新的服務開發相應的服務程式，這樣系統的可擴展性降低，狀態檢測防火墻不區分每個具體的應用，只是根據從資料包中提取出的資訊、對應的安全策略及過濾規則處理資料包，當有一個新的應用時，它能動態產生新的應用的新的規則，而不用另外寫代碼，所以具有很好的伸縮性和擴展性，

④配置方便,應用范圍廣

狀態檢測防火墻不僅支持基于TCP的應用，而且支持基于無連接協議的應用，如RPC、基于UDP的應用(DNS 、WAIS、
Archie等)等，對于無連接的協議，連接請求和應答沒有區別，包過濾防火墻和應用網關對此類應用要么不支持，要么開放一個大范圍的UDP埠，這樣暴露了內部網，降低了安全性，狀態檢測防火墻實作了基于UDP應用的安全，通過在UDP通信之上保持一個虛擬連接來實作，防火墻保存通過網關的每一個連接的狀態資訊，允許穿過防火墻的UDP請求包被記錄，當UDP包在相反方向上通過時，依據連接狀態表確定該UDP包是否被授權的，若已被授權，則通過，否則拒絕，如果在指定的一段時間內回應資料包沒有到達，連接超時，則該連接被阻塞，這樣所有的攻擊都被阻塞.狀態檢測防火墻可以控制無效連接的連接時間，避免大量的無效連接占用過多的網路資源，可以很好的降低DOS和DDOS攻擊的風險，

缺點：

①回程資料包可以直接放行，不需要設定額外的規則

② 流量只檢測第一個報文，后續的報文命中會話直接轉發，后續包處理速度快

4.常見的防火墻部署結構

5.防火墻的安全區域

防火墻分為4類區域，每一類區域會有各自的優先級，優先級越高，越安全，
1.Local區域，優先級100，防火墻自身所屬區域
2.trust區域，優先級85，一般連接受信任網路
3.untrust區域，優先級5，一般連接不受信任的網路
4.dmz區域，優先級50，隔離區，必須公開的服務器（諸如web服務器、FTP服務器等）