什么是防火墙？网络防火墙的工作原理

什么是防火墙？

防火墙是一种安全系统，它基于一组安全规则来监视和控制网络流量。防火墙通常位于受信任的网络和不受信任的网络之间；通常，不受信任的网络是互联网。例如，办公室网络通常使用防火墙来保护其网络免受在线威胁。

防火墙决定是否允许传入和传出的流量通过。它们可以内置于硬件、软件或两者的组合之中。“防火墙”一词的来源是建筑中的一种做法，即在建筑物之间或建筑物的中间建起一道防护墙以做防火之用。与此相似，网络防火墙用于控制在线威胁。

为什么要使用防火墙？

防火墙的主要作用是保护安全。防火墙可以在传入的恶意流量到达网络之前对其进行拦截，并防止敏感信息从网络流出。

防火墙也可以用于内容过滤。例如，学校可以配置防火墙，以防止其网络上的用户访问成人内容。同样，在某些国家/地区，政府运行防火墙，可以阻止该国家/地区内的人员访问互联网的某些部分。

本文将重点介绍为安全性配置的防火墙，其中有几种。

有哪些不同类型的防火墙？

基于代理的防火墙：

这些代理*位于客户端和服务器之间。客户端连接到防火墙，防火墙检查传出的数据包，之后它将创建与目标收件人（网页服务器）的连接。同样，当网页服务器尝试向客户端发送响应时，防火墙将拦截该请求，检查数据包，然后在防火墙与客户端之间的单独连接中传递该响应。基于代理的防火墙有效地防止了客户端和服务器之间的直接连接。

基于代理的防火墙有点像酒吧的保镖。该保镖可以在客人进入酒吧前将其拦下，以确保他们不是未成年、没有佩戴枪械或任何其他可能威胁到酒吧及其顾客的方式。保镖还可以在顾客出门的时候将其拦下，以确保他们有安全的回家方式，并且不会酒后驾车。

在酒吧设保镖的弊端是，当许多人试图同时进入或离开酒吧时，会大排长龙，并且会有很多人遇到延误。同样，基于代理的防火墙的主要缺点是，它可能导致延迟 ，特别是在流量繁忙期间。

*代理服务器是一台计算机，充当局域网和较大网络（例如互联网）之间的网关。

状态防火墙：

在计算机科学中，“有状态”的应用程序表示那些从先前事件和交互中保存了数据的应用程序。有状态的防火墙会保存关于公开连接的信息，并使用此信息来分析传入和传出的流量，而不是检查每个数据包。由于状态防火墙不会检查每个数据包，它们比基于代理的防火墙要快。

状态的防火墙在制定决策时依赖于很多上下文。例如，如果防火墙在一个连接上记录了请求某种响应的传出数据包，则防火墙仅会在传入数据包提供了所请求的响应的情况下才会允许该数据包进入。

状态防火墙还可以通过保持端口*处于关闭状态（仅当传入数据包请求访问特定端口时开启）来保护它们。这可以缓解称为“端口扫描”的攻击。

与状态防火墙关联的一个已知漏洞是，它们可能会被通过诱使客户端发送的某种信息请求所操纵。一旦客户端请求该响应，攻击者便可以通过防火墙发送符合该条件的恶意数据包。例如，不安全的网站可以使用JavaScript代码从网络浏览器创建此类伪造的请求。

*网络端口是发送信息的位置；它不是一个实体场所，而是通信端点。进一步了解端口 >>

下一代防火墙（NGFW）：

NGFW 不仅具有传统防火墙的功能，还部署了主机附加功能来解决对 OSI 模型其它层造成的威胁。NGFW 的部分特定功能包括：

• 深度数据包检测 (DPI) – 与传统防火墙相比，NGFW 会对数据包执行更深入的检查。深度检查可以查看数据包有效负载以及数据包正在访问哪个应用程序。这让防火墙能够执行更精细的过滤规则。
• 应用程序感知 – 启用此功能能让防火墙知晓正在运行的应用程序和这些应用程序正在使用的端口。这可以防止那些意图中断正在运行的进程然后接管其端口的某些恶意软件类型。
• 身份识别 – 它使防火墙可以基于身份实施规则，例如正在使用的计算机、登录的用户等。
• 沙箱 – 防火墙可以隔离与传入数据包相关联的代码段，并在“沙盒”环境中执行它们，以确保它们没有恶意行为。然后，将此沙盒测试的结果作为决定是否让数据包进入网络的标准。

Web 应用程序防火墙 (WAF)：

传统防火墙有助于保护专用网络免受恶意 Web 应用程序的侵害，而 WAF 可帮助保护 Web 应用程序不受恶意用户的侵害。WAF 通过过滤和监控 Web 应用程序与互联网之间的 HTTP 流量来帮助保护 Web 应用程序。它通常可以保护 Web 应用程序，使其免受跨站点伪造、跨站点脚本 (XSS)、文件包含、SQL 注入及其他一些攻击的影响。

通过在 Web 应用程序前端部署 WAF，可在 Web 应用程序与互联网之间形成一道屏障。虽然代理服务器通过中介保护客户机的身份，但 WAF 是一种反向代理，引导客户端通过 WAF 到达服务器，从而防止暴露服务器。

WAF 通过一组通常称为“政策”的规则进行运作。这些政策旨在过滤恶意流量，防止受到应用程序漏洞的侵害。WAF 的部分价值在于可以快速简便地修改政策，因而可以更迅速地响应不同的攻击手段。在 DDoS 攻击期间，可通过修改 WAF 政策快速实施速率限制。诸如 Cloudflare Web 应用程序防火墙之类的商业 WAF 产品每天可以保护数百万个 Web 应用程序免受攻击。

防火墙即服务 (FWaaS)：

防火墙即服务 (FWaaS) 是一种较新的模式，通过云提供防火墙功能。这种服务也可称为“云防火墙”。FWaaS 在云平台、基础设施和应用程序周围形成一个虚拟屏障，就像传统防火墙在组织的内部网络周围形成一个屏障一样。FWaaS 通常比传统防火墙更适合保护云和多云资产。

什么是“网络防火墙”？

“网络防火墙”是保护网络的任何防火墙。根据定义，几乎所有安全防火墙都是网络防火墙，尽管防火墙也可以保护单个计算机。

虽然防火墙是网络安全的一个重要组件，但这一领域也有许多其他方面，包括访问控制、用户身份验证以及 DDoS 缓解。了解有关网络安全的更多信息。

防火墙是基于软件还是基于硬件？

最初，防火墙是硬件设备（参见下文“防火墙的历史”部分）。虽然一些硬件防火墙仍在使用，但许多现代防火墙是基于软件的，这意味着它们可以在几种不同类型的硬件上运行。而 FWaaS 则是在云中托管。

防火墙的历史是怎样的？

防火墙可以追溯到 20 世纪 80 年代末。第一个防火墙用于允许或阻止单个数据包。它们通过检查其网络层和传输层标头来查看其源和目标 IP 地址以及端口（例如查看电子邮件的“收件人”和“发件人”部分），从而决定允许哪些数据包以及阻止哪些数据包。这阻止了非法流量通过，并防止了许多恶意软件攻击。

下一代防火墙增加了有状态的功能。更新一代的防火墙（如 NGFW）增加了在应用程序层检查流量的能力。

正如防火墙的功能随着时间的推移而演变，防火墙的部署方式也在不断变化。最初，防火墙是插入公司网络基础设施的物理硬件设备。但是，随着业务流程转向云，通过一个物理盒子输送所有网络流量变得效率低下。如今，防火墙也可以在软件中运行，或在云中虚拟运行。

什么是 Magic Firewall？

Magic Firewall 是从 Cloudflare 网络部署的网络级防火墙。它旨在取代用于内部网络的硬件防火墙。基于硬件的防火墙只能在 IT 部门购买更多防火墙的情况下扩大规模，而 Magic Firewall 更容易扩大规模以处理大量流量。了解有关 Magic Firewall 的更多信息 。