防火墙基础

·位于多个信任程度不同的网络之间（如企业内部网络和Internet之间）的设备。·对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问以达到保护系统安全的目的

·防火墙=硬件+软件+控制策略

宽松控制策略：除非明确禁止，否则允许

限制控制策略：除非明确允许，否则禁止

·路由器与交换机的本质是转发，防火墙的本质是控制

在低端，防火墙和路由器有融合趋势，防火墙具备大部分路由器功能，路由器

具备部分安全特性

在中高端，防火墙愈加突出安全特性

路由交换及TCPIP协议是防火墙的网络基础特性

访问控制越来越精确

从最初的简单访问控制，到基于会话的访问控制，再到下一代防火墙上基于应用、用户和内容来做访问控制，都是为了实现更有效更精确地访问控制

防护能力越来越强

从早期的隔离功能，到逐渐增加了入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能，防护手段越来越多，防护的范围也越来越广

性能越来越高

随着网络中业务流量爆炸式增长，对性能的需求也越来越高，各个防火墙厂商通过对硬件和软件架构的不断改进，使防火墙的处理性能与业务流量相匹配

·协议识别技术，仅检查报文的五元组，根据TCP/UDP报文的端口号来识别应用，而目前有许多传统和新兴应用采用了各种端口隐藏技术来逃避检测，如使用非知名端口和随机端口

·另一方面，一个协议可以用于多个应用软件，一个应用软件也可能使用多个协议。协议和应用之间的关系错综复杂纠缠不清

·当前网络中可能包括协作类应用、即时消息、电话会议、流媒体、文件共享、在线存储、VoIP、P2P、游戏、娱乐等等各种应用

·企业必须正确区分合法应用、风险应用和带宽占用类应用，保证正常业务的带宽，限制甚至阻断社交媒体和游戏娱乐类应用，并消除潜在的威胁。这一切都落在了防火墙的肩上，这是时代对防火墙提出的新要求

·按照形态

硬件防火墙

软件防火墙

•按照保护对象

单机防火墙

网络防火墙

·按照访问控制方式

包过滤防火墙

代理防火墙

状态检测防火墙

在网络层对每一个数据包进行检查，根据配置的规则

转发或丢弃数据包，通过配置ACL来实现

作用于应用层，其实质是把内部网络和外部网络

用户之间直接进行的业务由代理接管

包过滤技术的扩展，基于连接状态的包过滤在进行数据包的检查时，不仅将每个数据包看成是独立单元，还要考虑前后报文的历史关联性