防火墻是可信和不可信網(wǎng)絡(luò)之間的一道屏障，通常用在LAN和WAN之間。它通常放置在轉(zhuǎn)發(fā)路徑中，目的是讓所有數(shù)據(jù)包都必須由防火墻檢查，然后根據(jù)策略來決定是丟棄或允許這些數(shù)據(jù)包通過。例如：

如上圖，LAN有一臺主機(jī)和一臺交換機(jī)SW1。在右側(cè)，有一臺路由器R1連接到運(yùn)營商的路由器ISP1。防火墻位于兩者之間,這樣就可以保證LAN的安全。路由器是可選的，主要是取決于所連的WAN。例如，如果您的 ISP 提供電纜，那么您可能有一個帶有以太網(wǎng)連接的電纜調(diào)制解調(diào)器，也可以直接連接到您的防火墻。當(dāng)它是無線連接時，您可能需要那里的路由器進(jìn)行連接。如果您需要配置（高級）路由，如 BGP，您就需要路由器。大多數(shù)防火墻支持一些基本路由選項：靜態(tài)路由、默認(rèn)路由，有時還支持 RIP、OSPF 或 EIGRP 等路由協(xié)議。

我們在這里談?wù)撚布阑饓Α＿€有軟件防火墻，例如 Microsoft Windows 預(yù)裝的防火墻。它具有與我們的硬件防火墻類似的功能。

1、狀態(tài)過濾

防火墻，如路由器，可以使用訪問控制列表來檢查源、目地址/端口號。然而，大多數(shù)路由器不會在過濾上花太多時間……當(dāng)它們收到數(shù)據(jù)包時，就檢查數(shù)據(jù)包的源目信息是否與訪問控制列表中的條目匹配，如果匹配，它們會允許或丟棄該數(shù)據(jù)包。無論他們收到一個數(shù)據(jù)包還是數(shù)千個數(shù)據(jù)包，每個數(shù)據(jù)包都會單獨處理，不進(jìn)行跟蹤之前是否檢查過的數(shù)據(jù)包，這稱為無狀態(tài)過濾。

與之相反的就是，有狀態(tài)過濾。防火墻會跟蹤所有入向和出向的連接。例如：

局域網(wǎng)里有臺電腦，作為郵箱客戶端，通過互聯(lián)網(wǎng)去訪問郵箱服務(wù)器，郵箱客戶端起初會進(jìn)行TCP三次握手，經(jīng)過防火墻，就知道它們的源目信息，防火墻會跟蹤這些信息，當(dāng)郵箱服務(wù)器要進(jìn)行響應(yīng)客戶端的請求時，防火墻就會自動允許這部分的流量通過防火墻，最終到達(dá)客戶端。

一個 Web 服務(wù)器位于防火墻后面，它是一個繁忙的服務(wù)器，平均每秒從不同的 IP 地址接受 20 個新的 TCP 連接。防火墻會跟蹤所有連接，一旦發(fā)現(xiàn)每秒請求超過 10 個新 TCP 連接的源 IP 地址，它將丟棄來自該源 IP 地址的所有流量，防止 DoS（拒絕服務(wù)）。

2、數(shù)據(jù)包檢測

大多數(shù)防火墻支持進(jìn)行數(shù)據(jù)包（深度）檢查。簡單的訪問控制列表僅能檢查源、目標(biāo)地址/端口，即 OSI 模型的第 3 層和第 4 層。數(shù)據(jù)包深度檢查意味著防火墻可以檢查 OSI 模型的第 7 層。這就意味著防火墻查看應(yīng)用程序數(shù)據(jù)甚至負(fù)載：

上面你看到網(wǎng)絡(luò)（IP）和傳輸層（TCP）被標(biāo)記為紅色，應(yīng)用層被標(biāo)記為綠色。這個示例是來自捕獲web瀏覽器請求頁面的數(shù)據(jù)包。

3、安全區(qū)

默認(rèn)情況下，Cisco 路由器將允許并轉(zhuǎn)發(fā)它們收到的所有數(shù)據(jù)包，前提是需要匹配它們的路由表中的路由。如果你想進(jìn)行限制，你必須配置一些ACL。如果設(shè)備有很多接口或很多條ACL需要配置，這會成為網(wǎng)工的噩夢。這是一個例子：

上面的路由器有兩個入站方向ACL來阻止來自主機(jī)的一些流量。此外，還有兩個ACL，來防止來自 Internet 的流量進(jìn)入我們的網(wǎng)絡(luò)。我們還可以復(fù)用一些ACL，但記得將ACL應(yīng)用到四個接口。

接下來有個更好的解決方案，防火墻可以結(jié)合安全區(qū)域來工作。這是一個例子：

上面我們有兩個安全區(qū)域：

inside：這是LAN區(qū)域。

outside：這是WAN區(qū)域 接口已分配到正確的安全區(qū)域。這些區(qū)域有兩個簡單的規(guī)則：

允許從“高”安全級域到“低”安全級別的流量。

拒絕從“低”安全級別到“高”安全級別的流量。

LAN是我們信任的網(wǎng)絡(luò)，所以具有很高的安全級別。WAN 不受信任，因此它的安全級別較低。這意味著來自從LAN去往WAN的流量將被允許。從 WAN 到 LAN 的流量將被拒絕。由于防火墻是有狀態(tài)的，它會跟蹤傳出連接并允許其返回的流量。

如果您想例外，也可以允許從 WAN 到 LAN 的流量，這就需要通過訪問控制列表來完成了。

大多數(shù)公司將擁有一臺或多臺服務(wù)器，這些服務(wù)器大部分是需要從 Internet來訪問。如郵件服務(wù)器。為了安全，我們沒有將它們放在內(nèi)部（LAN），而是放在稱為DMZ（非軍事區(qū)）的第三個區(qū)域。看看下面的圖片：

DMZ 安全區(qū)域的安全級別介于 INSIDE 和 OUTSIDE 之間。這意味著：

允許從 INSIDE 到 OUTSIDE 的流量。

允許從 INSIDE 到 DMZ 的流量。

允許從 DMZ 到 OUTSIDE 的流量。

從 DMZ 到 INSIDE 的流量被拒絕。

從外部到 DMZ 的流量被拒絕。

從外部到內(nèi)部的流量被拒絕。

為確保來自 OUTSIDE 的流量能夠到達(dá) DMZ 中的服務(wù)器，我們將使用一個訪問列表，該列表只允許流量流向 DMZ 中服務(wù)器使用的 IP 地址（和端口號）。此設(shè)置非常安全，如果您在 DMZ 中的其中一臺服務(wù)器遭到黑客攻擊，您的 INSIDE 網(wǎng)絡(luò)仍然是安全的。

4、總結(jié)

您現(xiàn)在已經(jīng)了解了防火墻的基礎(chǔ)知識。防火墻使用狀態(tài)過濾來跟蹤所有入站和出站連接。他們還能夠（主要看防火墻型號）檢查 OSI 模型的第 7 層、應(yīng)用程序的有效負(fù)載。

防火墻還使用安全區(qū)域，允許來自高安全級別的流量進(jìn)入較低安全級別。從低安全級別到高安全級別的流量將被拒絕，可以使用訪問控制列表進(jìn)行特例處理。

審核編輯：湯梓紅