前言

今天，給大家講講防火墻，防火墻和路由器、交換機一樣都是網(wǎng)絡中不可或缺的設備。

那么什么是防火墻呢？為什么需要防火墻呢？防火墻和路由器、交換機有什么區(qū)別呢？

為什么需要防火墻

如下圖所示，內(nèi)部網(wǎng)絡和外部網(wǎng)絡互訪時，內(nèi)部網(wǎng)絡可能存在一些安全隱患，可能被攻擊。

這個時候就需要在內(nèi)部網(wǎng)絡和外部網(wǎng)絡之間有一個設備能夠保護內(nèi)網(wǎng)。那么這個設備就是防火墻。

防火墻能夠?qū)崿F(xiàn)如下業(yè)務述求；

（1）外部網(wǎng)絡安全隔離；

（2）內(nèi)部網(wǎng)絡安全管控；

（3）內(nèi)容安全過濾；

（4）入侵防御

（5）防病毒等

什么是防火墻

1、防火墻概念

防火墻就類似于我們家里的門，進出家里都需要經(jīng)過門，門其實起到了一個安全保護的作用。

下面看下官方的定義:

防火墻是一種安全設備，保護一個網(wǎng)絡區(qū)域免受另一個網(wǎng)絡區(qū)域的攻擊和入侵，通常被部署在網(wǎng)絡邊界，例如：企業(yè)互聯(lián)網(wǎng)出口；

簡單講防火墻作為網(wǎng)絡中的設備，它的作用也是對網(wǎng)絡起到安全保護的作用，對進出網(wǎng)絡的流量進量進行安全管理，保證內(nèi)網(wǎng)的安全性。

2、防火墻分類

（1）按照硬件形態(tài)，防火墻可以分為盒式防火墻、框式防護墻；

（2）按照軟硬件區(qū)分：防火墻可以分為軟件防火墻和硬件防火墻；

（3）按照防火墻技術原理：防火墻可以分為包過濾防火墻、狀態(tài)檢測防火墻，AI防火墻；（后面章節(jié)會詳細介紹這3種防火墻的區(qū)別。）

防火墻和交換機、路由器區(qū)別

如上圖所示：

（1）交換機的作用是接入終端和匯聚內(nèi)部路由，負責二三層報文的轉(zhuǎn)，發(fā)構建一個內(nèi)部的園區(qū)網(wǎng)絡；

（2）路由器的作用是路由尋址和轉(zhuǎn)發(fā)，構建外部連接網(wǎng)絡。

（3）防火墻的作用是流量控制和安全防護，區(qū)分和隔離不同安全區(qū)域；

防護墻和路由器的轉(zhuǎn)發(fā)流程對比

防火墻的轉(zhuǎn)發(fā)流程比路由器要復雜：

以框式設備為例：

硬件上除了接口、LPU、交換網(wǎng)板的等外，還有防火墻特有的SPU，用于實現(xiàn)防火墻的安全功能。

SPU可以進行：

DDOS攻擊防范；

匹配會話；

狀態(tài)檢測；

認證策略；

安全策略；

NAT策略；

等等

防火墻應用場景

1、企業(yè)邊界防護

如下圖所示，企業(yè)內(nèi)網(wǎng)業(yè)務部署在trust區(qū)，服務器部署在DMZ。

（1）企業(yè)內(nèi)網(wǎng)訪問internet時經(jīng)過防火墻，防火墻控制內(nèi)外網(wǎng)流量，進行安全控制；

（2）外網(wǎng)用戶訪問服務器時經(jīng)過防火墻，對內(nèi)網(wǎng)服務器進行保護；

2、內(nèi)網(wǎng)安全隔離

如下圖所示：公司分為市場部、生產(chǎn)部，財經(jīng)部，研發(fā)部，不同部分之間互訪經(jīng)過防火墻。通過防火墻進行安全控制。

3、數(shù)據(jù)中心邊界防護

數(shù)據(jù)中心網(wǎng)絡訪問internet時，需要經(jīng)過防火墻進行安全控制，對內(nèi)網(wǎng)業(yè)務進行安全保護。

4、數(shù)據(jù)中心安全聯(lián)動

數(shù)據(jù)中心網(wǎng)絡一般采用Spine-Leaf架構。

Spine為骨干節(jié)點負責流量高速轉(zhuǎn)發(fā);

Leaf為葉子節(jié)點負責服務器、防火墻或其他設備接入。

Spine-Leaf之間全三層互聯(lián)。

如下圖所示，防火墻旁掛在數(shù)據(jù)中心核心spine，核心出Internet的流量重定向到防火墻進行安全控制。