前言

今天，給大家講講防火墻，防火墻和路由器、交換機(jī)一樣都是網(wǎng)絡(luò)中不可或缺的設(shè)備。

那么什么是防火墻呢？為什么需要防火墻呢？防火墻和路由器、交換機(jī)有什么區(qū)別呢？

為什么需要防火墻

如下圖所示，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)互訪時(shí)，內(nèi)部網(wǎng)絡(luò)可能存在一些安全隱患，可能被攻擊。

這個(gè)時(shí)候就需要在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間有一個(gè)設(shè)備能夠保護(hù)內(nèi)網(wǎng)。那么這個(gè)設(shè)備就是防火墻。

防火墻能夠?qū)崿F(xiàn)如下業(yè)務(wù)述求；

（1）外部網(wǎng)絡(luò)安全隔離；

（2）內(nèi)部網(wǎng)絡(luò)安全管控；

（3）內(nèi)容安全過濾；

（4）入侵防御

（5）防病毒等

什么是防火墻

1、防火墻概念

防火墻就類似于我們家里的門，進(jìn)出家里都需要經(jīng)過門，門其實(shí)起到了一個(gè)安全保護(hù)的作用。

下面看下官方的定義:

防火墻是一種安全設(shè)備，保護(hù)一個(gè)網(wǎng)絡(luò)區(qū)域免受另一個(gè)網(wǎng)絡(luò)區(qū)域的攻擊和入侵，通常被部署在網(wǎng)絡(luò)邊界，例如：企業(yè)互聯(lián)網(wǎng)出口；

簡單講防火墻作為網(wǎng)絡(luò)中的設(shè)備，它的作用也是對(duì)網(wǎng)絡(luò)起到安全保護(hù)的作用，對(duì)進(jìn)出網(wǎng)絡(luò)的流量進(jìn)量進(jìn)行安全管理，保證內(nèi)網(wǎng)的安全性。

2、防火墻分類

（1）按照硬件形態(tài)，防火墻可以分為盒式防火墻、框式防護(hù)墻；

（2）按照軟硬件區(qū)分：防火墻可以分為軟件防火墻和硬件防火墻；

（3）按照防火墻技術(shù)原理：防火墻可以分為包過濾防火墻、狀態(tài)檢測(cè)防火墻，AI防火墻；（后面章節(jié)會(huì)詳細(xì)介紹這3種防火墻的區(qū)別。）

防火墻和交換機(jī)、路由器區(qū)別

如上圖所示：

（1）交換機(jī)的作用是接入終端和匯聚內(nèi)部路由，負(fù)責(zé)二三層報(bào)文的轉(zhuǎn)，發(fā)構(gòu)建一個(gè)內(nèi)部的園區(qū)網(wǎng)絡(luò)；

（2）路由器的作用是路由尋址和轉(zhuǎn)發(fā)，構(gòu)建外部連接網(wǎng)絡(luò)。

（3）防火墻的作用是流量控制和安全防護(hù)，區(qū)分和隔離不同安全區(qū)域；

防護(hù)墻和路由器的轉(zhuǎn)發(fā)流程對(duì)比

防火墻的轉(zhuǎn)發(fā)流程比路由器要復(fù)雜：

以框式設(shè)備為例：

硬件上除了接口、LPU、交換網(wǎng)板的等外，還有防火墻特有的SPU，用于實(shí)現(xiàn)防火墻的安全功能。

SPU可以進(jìn)行：

DDOS攻擊防范；

匹配會(huì)話；

狀態(tài)檢測(cè)；

認(rèn)證策略；

安全策略；

NAT策略；

等等

防火墻應(yīng)用場(chǎng)景

1、企業(yè)邊界防護(hù)

如下圖所示，企業(yè)內(nèi)網(wǎng)業(yè)務(wù)部署在trust區(qū)，服務(wù)器部署在DMZ。

（1）企業(yè)內(nèi)網(wǎng)訪問internet時(shí)經(jīng)過防火墻，防火墻控制內(nèi)外網(wǎng)流量，進(jìn)行安全控制；

（2）外網(wǎng)用戶訪問服務(wù)器時(shí)經(jīng)過防火墻，對(duì)內(nèi)網(wǎng)服務(wù)器進(jìn)行保護(hù)；

2、內(nèi)網(wǎng)安全隔離

如下圖所示：公司分為市場(chǎng)部、生產(chǎn)部，財(cái)經(jīng)部，研發(fā)部，不同部分之間互訪經(jīng)過防火墻。通過防火墻進(jìn)行安全控制。

3、數(shù)據(jù)中心邊界防護(hù)

數(shù)據(jù)中心網(wǎng)絡(luò)訪問internet時(shí)，需要經(jīng)過防火墻進(jìn)行安全控制，對(duì)內(nèi)網(wǎng)業(yè)務(wù)進(jìn)行安全保護(hù)。

4、數(shù)據(jù)中心安全聯(lián)動(dòng)

數(shù)據(jù)中心網(wǎng)絡(luò)一般采用Spine-Leaf架構(gòu)。

Spine為骨干節(jié)點(diǎn)負(fù)責(zé)流量高速轉(zhuǎn)發(fā);

Leaf為葉子節(jié)點(diǎn)負(fù)責(zé)服務(wù)器、防火墻或其他設(shè)備接入。

Spine-Leaf之間全三層互聯(lián)。

如下圖所示，防火墻旁掛在數(shù)據(jù)中心核心spine，核心出Internet的流量重定向到防火墻進(jìn)行安全控制。