防火墻是可信和不可信網(wǎng)絡(luò)之間的一道屏障，通常用在LAN和WAN之間。它通常放置在轉(zhuǎn)發(fā)路徑中，目的是讓所有數(shù)據(jù)包都必須由防火墻檢查，然后根據(jù)策略來(lái)決定是丟棄或允許這些數(shù)據(jù)包通過。例如：

如上圖，LAN有一臺(tái)主機(jī)和一臺(tái)交換機(jī)SW1。在右側(cè)，有一臺(tái)路由器R1連接到運(yùn)營(yíng)商的路由器ISP1。防火墻位于兩者之間,這樣就可以保證LAN的安全。路由器是可選的，主要是取決于所連的WAN。例如，如果您的 ISP 提供電纜，那么您可能有一個(gè)帶有以太網(wǎng)連接的電纜調(diào)制解調(diào)器，也可以直接連接到您的防火墻。當(dāng)它是無(wú)線連接時(shí)，您可能需要那里的路由器進(jìn)行連接。如果您需要配置（高級(jí)）路由，如 BGP，您就需要路由器。大多數(shù)防火墻支持一些基本路由選項(xiàng)：靜態(tài)路由、默認(rèn)路由，有時(shí)還支持 RIP、OSPF 或 EIGRP 等路由協(xié)議。

我們?cè)谶@里談?wù)撚布阑饓?。還有軟件防火墻，例如 Microsoft Windows 預(yù)裝的防火墻。它具有與我們的硬件防火墻類似的功能。

1、狀態(tài)過濾

防火墻，如路由器，可以使用訪問控制列表來(lái)檢查源、目地址/端口號(hào)。然而，大多數(shù)路由器不會(huì)在過濾上花太多時(shí)間……當(dāng)它們收到數(shù)據(jù)包時(shí)，就檢查數(shù)據(jù)包的源目信息是否與訪問控制列表中的條目匹配，如果匹配，它們會(huì)允許或丟棄該數(shù)據(jù)包。無(wú)論他們收到一個(gè)數(shù)據(jù)包還是數(shù)千個(gè)數(shù)據(jù)包，每個(gè)數(shù)據(jù)包都會(huì)單獨(dú)處理，不進(jìn)行跟蹤之前是否檢查過的數(shù)據(jù)包，這稱為無(wú)狀態(tài)過濾。

與之相反的就是，有狀態(tài)過濾。防火墻會(huì)跟蹤所有入向和出向的連接。例如：

• 局域網(wǎng)里有臺(tái)電腦，作為郵箱客戶端，通過互聯(lián)網(wǎng)去訪問郵箱服務(wù)器，郵箱客戶端起初會(huì)進(jìn)行TCP三次握手，經(jīng)過防火墻，就知道它們的源目信息，防火墻會(huì)跟蹤這些信息，當(dāng)郵箱服務(wù)器要進(jìn)行響應(yīng)客戶端的請(qǐng)求時(shí)，防火墻就會(huì)自動(dòng)允許這部分的流量通過防火墻，最終到達(dá)客戶端。

• 一個(gè) Web 服務(wù)器位于防火墻后面，它是一個(gè)繁忙的服務(wù)器，平均每秒從不同的 IP 地址接受 20 個(gè)新的 TCP 連接。防火墻會(huì)跟蹤所有連接，一旦發(fā)現(xiàn)每秒請(qǐng)求超過 10 個(gè)新 TCP 連接的源 IP 地址，它將丟棄來(lái)自該源 IP 地址的所有流量，防止 DoS（拒絕服務(wù)）。

2、數(shù)據(jù)包檢測(cè)

大多數(shù)防火墻支持進(jìn)行數(shù)據(jù)包（深度）檢查。簡(jiǎn)單的訪問控制列表僅能檢查源、目標(biāo)地址/端口，即 OSI 模型的第 3 層和第 4 層。數(shù)據(jù)包深度檢查意味著防火墻可以檢查 OSI 模型的第 7 層。這就意味著防火墻查看應(yīng)用程序數(shù)據(jù)甚至負(fù)載：

上面你看到網(wǎng)絡(luò)（IP）和傳輸層（TCP）被標(biāo)記為紅色，應(yīng)用層被標(biāo)記為綠色。這個(gè)示例是來(lái)自捕獲web瀏覽器請(qǐng)求頁(yè)面的數(shù)據(jù)包。

3、安全區(qū)

默認(rèn)情況下，Cisco 路由器將允許并轉(zhuǎn)發(fā)它們收到的所有數(shù)據(jù)包，前提是需要匹配它們的路由表中的路由。如果你想進(jìn)行限制，你必須配置一些ACL。如果設(shè)備有很多接口或很多條ACL需要配置，這會(huì)成為網(wǎng)工的噩夢(mèng)。這是一個(gè)例子：

上面的路由器有兩個(gè)入站方向ACL來(lái)阻止來(lái)自主機(jī)的一些流量。此外，還有兩個(gè)ACL，來(lái)防止來(lái)自 Internet 的流量進(jìn)入我們的網(wǎng)絡(luò)。我們還可以復(fù)用一些ACL，但記得將ACL應(yīng)用到四個(gè)接口。

接下來(lái)有個(gè)更好的解決方案，防火墻可以結(jié)合安全區(qū)域來(lái)工作。這是一個(gè)例子：

上面我們有兩個(gè)安全區(qū)域：

• inside：這是LAN區(qū)域。

• outside：這是WAN區(qū)域 ???????接口已分配到正確的安全區(qū)域。這些區(qū)域有兩個(gè)簡(jiǎn)單的規(guī)則：

• 允許從“高”安全級(jí)域到“低”安全級(jí)別的流量。

• 拒絕從“低”安全級(jí)別到“高”安全級(jí)別的流量。

LAN是我們信任的網(wǎng)絡(luò)，所以具有很高的安全級(jí)別。WAN 不受信任，因此它的安全級(jí)別較低。這意味著來(lái)自從LAN去往WAN的流量將被允許。從 WAN 到 LAN 的流量將被拒絕。由于防火墻是有狀態(tài)的，它會(huì)跟蹤傳出連接并允許其返回的流量。

如果您想例外，也可以允許從 WAN 到 LAN 的流量，這就需要通過訪問控制列表來(lái)完成了。

大多數(shù)公司將擁有一臺(tái)或多臺(tái)服務(wù)器，這些服務(wù)器大部分是需要從 Internet來(lái)訪問。如郵件服務(wù)器。為了安全，我們沒有將它們放在內(nèi)部（LAN），而是放在稱為DMZ（非軍事區(qū)）的第三個(gè)區(qū)域?？纯聪旅娴膱D片：

DMZ 安全區(qū)域的安全級(jí)別介于 INSIDE 和 OUTSIDE 之間。這意味著：

• 允許從 INSIDE 到 OUTSIDE 的流量。

• 允許從 INSIDE 到 DMZ 的流量。

• 允許從 DMZ 到 OUTSIDE 的流量。

• 從 DMZ 到 INSIDE 的流量被拒絕。

• 從外部到 DMZ 的流量被拒絕。

• 從外部到內(nèi)部的流量被拒絕。

為確保來(lái)自 OUTSIDE 的流量能夠到達(dá) DMZ 中的服務(wù)器，我們將使用一個(gè)訪問列表，該列表只允許流量流向 DMZ 中服務(wù)器使用的 IP 地址（和端口號(hào)）。此設(shè)置非常安全，如果您在 DMZ 中的其中一臺(tái)服務(wù)器遭到黑客攻擊，您的 INSIDE 網(wǎng)絡(luò)仍然是安全的。

4、總結(jié)

現(xiàn)在已經(jīng)了解了防火墻的基礎(chǔ)知識(shí)。防火墻使用狀態(tài)過濾來(lái)跟蹤所有入站和出站連接。他們還能夠（主要看防火墻型號(hào)）檢查 OSI 模型的第 7 層、應(yīng)用程序的有效負(fù)載。

防火墻還使用安全區(qū)域，允許來(lái)自高安全級(jí)別的流量進(jìn)入較低安全級(jí)別。從低安全級(jí)別到高安全級(jí)別的流量將被拒絕，可以使用訪問控制列表進(jìn)行特例處理。