一、防火墙产生背景

企业内网要经常连接因特网，就有可能有一些攻击的行为，攻击到企业的内网当中来，如果没有防火墙，企业内网的安全性主要就是由整个企业里面的各个主机自己提供。那么根据短木板的原理，只要有一台计算机安全性是非常差的话，那么整个企业网络的安全性就是以它为准的。防火墙将企业内网外网进行了一定的隔离，阻断来自外部网络的攻击行为。

二、防火墙组成

防火墙是硬件和软件的统称，防火墙有防火墙的硬件，也有防火墙软件来实现相应的控制过程。

三、防火墙划分网络区域

（一）防火墙至少会把网络划分为两个区域，一个是安全区域、一个是不安全区域。

（二）防火墙划分三个区域

上图拓扑图当中，发现这个防火墙其实是有三个接口，那么三个接口其实就是连接了三个区域。

第一个接口，连接内网，防火墙会认为是安全的局域网络，安全级别默认为100。

第二个接口，连接外网，是不安全的网络，安全级别为0，也就是充满危险的。

第三个接口，连接DMZ区域，也叫做军事化区域，主要用于存放一些需要对外网来提供服务的服务器，能够使得外网主机能够主动访问DMZ区域当中的一些服务器，所以像WEB服务器也好，FTP服务器也好，我们都会统一的放在DMZ区域，DMZ区域安全级别划分为50，安全级别是介于安全网络和不安全网络之间的。当然这是因为划分了DMZ区域，就可以放在这里，如果没有划分DMZ区域，就只能放在安全内网里面。

（三）为什么要划分DMZ区域？

因为来自外网的攻击大部分是攻击服务器，使得企业的某一些服务不能正常提供，比方防火墙没有对攻击流量进行很好阻断，那么这些攻击流量就会攻击DMZ区域，导致DMZ区域可能出现问题，但是局域网当中各个主机还是可以进行访问外网，所以从一定程度上讲，防火墙可以隔离安全的网络。

四、防火墙的功能

防火墙的功能主要是提供相应的访问控制、流量控制等，对所有的流量都会进行检测，然后会有相应的日志系统记录所有流量的详细情况，所以所有流量都要经过防火墙的监控，都要经过防火墙的控制来决定这个流量能不能通过防火墙。

防火墙还可以提供附加功能，比方像NAT地址转换，还有SSL也可以在防火墙上面做访问控制。

五、防火墙的工作模式

（一）路由模式的防火墙

路由模式防火墙类似于一台路由器，路由模式防火墙的每一个接口，有连接内网的、连接DMZ区域的、连接外网的，各个接口都配置了IP地址。

因为各个接口都有IP地址，所以如果内网里面的IP地址发生了变化 或者拓扑结构发生了变化，防火墙上面也要做相应的更改，否则连通性就会收到影响。

可以在内网当中采用NAT静态地址转换，DMZ区域采用动态NAT地址转换来访问外网。

（二）透明模式防火墙

透明模式防火墙就类似于一台交换机，所以对内网和DMZ区域而言，都是属于一个网络的，然后他们的流量都会经过防火墙，但是他们自己并不清楚，大家都处于同一个网段，所以称之为透明模式。

透明模式防火墙就类似于一台交换机，所以说网络当中的拓扑IP发生了相应的变化的话，对于这台防火墙而言，不需要做太多的修改，比较容易实现。

透明模式防火墙各个接口没有IP地址，不能实现NAT地址转换，在透明模式下，需要有一台出口路由器，实现NAT地址转换。

（三）混合模式防火墙

混合模式就是结合路由模式和透明模式的特点，使得这台防火墙既可以工作在路由模式，又可以工作在透明模式。

六、防火墙技术分类

（一）包过滤防火墙（网络层）

1、包过滤防火墙是工作在网络层的。

2、包过滤防火墙会根据IP包头的源目IP地址、端口号、协议等标志来确定是否允许数据包通过，也就是在防火墙当中会进行设定，所以我们看到网络层IP数据包格式就会有防火墙的检查模块，然后会去检查匹配防火墙的规则，是否匹配，再决定是否丢弃或者是转发数据包。

3、包过滤防火墙 匹配规则是按照顺序来进行匹配的，匹配第一个没有匹配上，继续匹配第二个。

4、包过滤防火墙数据转发速度是比较快的，因为数据包到达防火墙之后，只是检查到网络层就不继续往上检查了。

（二）代理层防火墙（应用层）

代理层防火墙工作OSI应用层。客户端请求访问服务器，如果访问被允许通过，那么请求就会被代理防火墙接管。代理防火墙接管之后，对于服务器，其实是在跟代理型防火墙在进行通信，对于客户端，也是跟代理型防火墙通信，中间有一个代理型防火墙来转发他们通信的过程。代理型防火墙会对外网屏蔽内网的信息，所以客户端并不知道内网详细信息。代理型防火墙可以允许或拒绝特定的应用程序或服务，也可以实施数据流的监控和过滤，然后记录和报告，主要是指记录日志方面的信息。包过滤防火墙的日志系统是不够发达的，而这个应用层的代理型防火墙日志功能是非常全面的。代理型防火墙通常还具有高速缓存的功能，从而可以实现快速的传输。代理防火墙因为在网络层进行转发，然后一直要检测到应用层，对这个数据进行监控和检测、匹配规则，如果说运行通过的话，再回到网络层进行转发，所以比较消耗时间，但可以提供高速缓存能力。

（三）状态检测型防火墙

1、状态监测型防火墙是基于包过滤防火墙的改进，也是工作在网络层。

2、状态监测型防火墙可以动态的根据实际应用需求自动生成包过滤规则。而包过滤防火墙，主要是静态来实现包过滤规则。

3、包过滤防火墙在内网要访问外网的时候，是高安全级别向低安全级别的访问，就会运行被通过。如果外网对内网进行回应，如果没有制定相应的包过滤规则，就会被阻断。

4、状态检测型防火墙会动态产生包过滤规则，在内网访问外网之后，就会自动建立一个带时间周期的连接状态表，当外网响应的时候，就知道是一个响应包，然后这个包就可以被进行转发。