小白也能看懂！防火墙原理全解析

你们好，我的网工朋友。

在网络安全中，防火墙是一道重要的防线，用来保护网络免受未经授权的访问和恶意攻击。

防火墙通过设定规则，监控网络流量并过滤数据包，以确保只有符合规定的流量能够通过。

简单来说，它可以根据来源、目的地、端口等信息对流量进行检查和控制，达到提升网络安全性和稳定性的目的。

如果你想更透彻深入地理解防火墙工作原理，建议你仔细阅读今天的文章，先把基础打好。

今日文章阅读福利：《 思科防火墙白皮书 》

私信我，发送暗号“防火墙”，即可获取该份高清优质电子书资源。

01 硬件防火墙的原理

软件防火墙及硬件防火墙中还有的其他功能，例如CF（内容过滤）IDS（入侵侦测）IPS（入侵防护）以及VPN等等的功能。

也就是说硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

硬件防火墙是保障内部网络安全的一道重要屏障。

它的安全和稳定，直接关系到整个内部网络的安全。

因此，日常例行的检查对于保证硬件防火墙的安全是非常重要的。

系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头，例行检查的任务就是要发现这些安全隐患，并尽可能将问题定位，方便问题的解决。

02 4种类型

01 包过滤防火墙

包过滤防火墙一般在路由器上实现，用以过滤用户定义的内容，如IP地址。

包过滤防火墙的工作原理是：系统在网络层检查数据包，与应用层无关。这样系统就具有很好的传输性能，可扩展能力强。

但是，包过滤防火墙的安全性有一定的缺陷，因为系统对应用层信息无感知，也就是说，防火墙不理解通信的内容，所以可能被黑客所攻破。

02 应用网关防火墙

应用网关防火墙检查所有应用层的信息包，并将检查的内容信息放入决策过程，从而提高网络的安全性。

然而，应用网关防火墙是通过打破客户机/服务器模式实现的。

每个客户机/服务器通信需要两个连接：一个是从客户端到防火墙，另一个是从防火墙到服务器。

另外，每个代理需要一个不同的应用进程，或一个后台运行的服务程序，对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。

所以，应用网关防火墙具有可伸缩性差的缺点。（图 2）

03 状态检测防火墙

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。

这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。

可以这样说，状态检测包过滤防火墙规范了网络层和传输层行为，而应用代理型防火墙则是规范了特定的应用协议上的行为。（图 3）

04 复合型防火墙

复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙，进一步基于ASIC 架构，把防病毒、内容过滤整合到防火墙里，其中还包括VPN、IDS功能，多单元融为一体，是一种新突破。

常规的防火墙并不能防止隐蔽在网络流量里的攻击，在网络界面对应用层扫描，把防病毒、内容过滤与防火墙结合起来，这体现了网络与信息安全的新思路。

它在网络边界实施OSI 第七层的内容扫描，实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。（图 4）

03 四类防火墙的对比

01 包过滤防火墙

包过滤防火墙不检查数据区，包过滤防火墙不建立连接状态表，前后报文无关，应用层控制很弱。

02 应用网关防火墙

不检查IP、 TCP 报头，不建立连接状态表，网络层保护比较弱。

03 状态检测防火墙

不检查数据区，建立连接状态表，前后报文相关，应用层控制很弱。

04 复合型防火墙

可以检查整个数据包内容，根据需要建立连接状态表，网络层保护强，应用层控制细，会话控制较弱。

04 防火墙术语

01 网关

在两个设备之间提供转发服务的系统。

网关是互联网应用程序在两台主机之间处理流量的防火墙。

这个术语是非常常见的。

02 DMZ非军事化区

为了配置管理方便，内部网中需要向外提供服务的服务器往往放在一个单独的网段，这个网段便是非军事化区。

防火墙一般配备三块网卡，在配置时一般分别分别连接内部网，Internet和DMZ。

03 吞吐量

网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。

吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。

04 最大连接数

和吞吐量一样，数字越大越好。

但是最大连接数更贴近实际网络情况，网络中大多数连接是指所建立的一个虚拟通道。

防火墙对每个连接的处理也好耗费资源，因此最大连接数成为考验防火墙这方面能力的指标。

数据包转发率：是指在所有安全规则配置正确的情况下，防火墙对数据流量的处理速度。

05 SSL

SSL（Secure Sockets Layer）是由 Netscape 公司开发的一套Internet 数据安全协议。

它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输SSL协议位于TCP/IP 协议与各种应用层协议之间，为数据通讯提供安全支持。

06 网络地址转换

网络地址转换（NAT）是一种将一个IP地址域映射到另一个IP 地址域技术，从而为终端主机提供透明路由。

NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。

NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏问题。

在防火墙上实现NAT后，可以隐藏受保护网络的内部拓扑结构，在一定程度上提高网络的安全性。

如果反向NAT提供动态网络地址及端口转换功能，还可以实现负载均衡等功能。

07 堡垒主机

一种被强化的可以防御进攻的计算机，被暴露于因特网之上，作为进入内部网络的一个检查点，以达到把整个网络的安全问题集中在某个主机上解决，从而省时省力，不用考虑其它主机的安全的目的。

05 硬件防火墙和软件防火墙对比

01 成本对比

硬件防火墙是软硬件一体的，用户购买后不需要再投入其他费用。

一般硬件防火墙的报价在1万到2万之间。

软件防火墙有三方面的成本开销：

软件的成本、安装软件的设备成本以及设备上操作系统的成本。

综合以上的成本，要配置一套软件防火墙按最小的网络要求，其成本在1万左右。

02 稳定性与安全性对比

稳定性和安全性比较稳定性能的优劣主要来自于防火墙运行平台即操作系统上。

硬件防火墙一般使用经过内核编译后的Linux ，凭借Linux本身的高可靠性和稳定性保证了防火墙整体的稳定性。

Linux 永远都不会崩溃，其稳定性是由于它没有像其他操作系统一样内核庞大且漏洞百出。

系统的稳定性主要取决于系统设计的结构。

计算机硬件的结构自从1981设计开始就没有作特别大的改动，而连续向后兼容性使那些编程风格极差的应用软件勉强移植到Windows的最新版本，这种将就的软件开发模式极大地阻碍了系统稳定性的发展。

最令人注目的Linux开放源代码的开发模式，它保证了任何系统的漏洞都能被及时发现和修正。

Linux 采取了许多安全技术措施，包括对读、写进行权限控制、带保护的子系统、审计跟踪、核心授权等，这为网络多用户环境中的用户提供了必要的安全保障。

软件防火墙一般要安装在windows 平台上，实现简单，但同时由于windows 本身的漏洞和不稳定性带来了软件防火墙的安全性和稳定性的问题。

虽然 Microsoft 也在努力的弥补这些问题，Windows 2003 server本身的漏洞就比前期的Windows NT少了很多，但与Linux 比起来还是漏洞倍出。

在病毒侵害方面，从linux发展到如今，Linux 几乎不感染病毒。

而作为Windows平台下的病毒我们就不必多说了，只要是使用过电脑的人都有感受。

如果遭遇广泛传播的ARP欺骗病毒，容易造成了内网不稳定、网络时断时序、经常掉线，无法开展正常的工作，使得很多的网络管理人员束手无策。

03 软硬件防火墙的吞吐量和包转发率比较

吞吐量和报文转发率是关系防火墙应用的主要指标。

硬件防火墙的硬件设备是经专业厂商定制的，在定制之初就充分考虑了吞吐量的问题，在这一点上远远胜于软件防火墙。

因为软件防火墙的硬件是用户自己选择的很多情况下都没有考虑吞吐量的问题。

况且windows系统本身就很耗费硬件资源，其吞吐量和处理大数据流的能力远不及硬件防火墙，这一点是不言而喻的。

吞吐量太小的话，防火墙就是网络的瓶颈，会带来网络速度慢、上网带宽不够等等问题。

04 防火墙工作原理上的比较

软件防火墙一般可以是包过滤机制。

包过滤过滤规则简单，只能检查到第三层网络层，只对源或目的IP做检查。

防火墙的能力远不及状态检测防火墙，连最基本的黑客攻击手法IP伪装都无法解决，并且要对所经过的所有数据包做检查，所以速度比较慢。

硬件防火墙主要采用第四代状态检测机制。

状态检测是在通信发起连接时就检查规则是否允许建立连接，然后在缓存的状态检测表中添加一条记录，以后就不必去检查规则了只要查看状态监测表就OK了，速度上有了很大的提升。

因其工作的层次有了提高，其防黑功能比包过滤强了很多，状态检测防火墙跟踪的不仅是包中包含的信息。

为了跟踪包的状态，防火墙还记录有用的信息以帮助识别包，例如已有的网络连接、数据的传出请求等。

例如，如果传入的包包含视频数据流，而防火墙可能已经记录了有关信息，是关于位于特定IP 地址的应用程序最近向发出包的源地址请求视频信号的信息。

如果传入的包是要传给发出请求的相同系统，防火墙进行匹配，包就可以被允许通过。 @网络工程师俱乐部

硬件防火墙比软件防火墙在实现的机制上有很大的不同，也带来了软硬件防火墙在防黑能力上很大差异。

05 在对内网的控制方面比较

软件防火墙由于本身的工作原理造成了它不具备内网具体化的控制管理。

比如，不能控制BT、不能禁止QQ、不能很好的防止病毒侵入、不能针对具体的IP 和MAC 做上网控制等，其主要的功能在于对外。

硬件防火墙在基于状态检测的机制上，安全厂商又可以根据市场的不同需求开发应用层过滤规则，来满足对内网的控制，能够在高层进行过滤，做到了软件防火墙不能做到的很多事。

尤其是ARP病毒，硬件防火墙针对其入侵的原理，都做了相应的策略，彻底解除了ARP病毒的危害。

现在的网络安全(防火墙 )已经不仅仅局限于对外的防止黑客攻击上，更多的企业内部网络经常存在诸如上网速度慢、时断时序、邮件收发不正常等问题。

我们分析其主要的原因，在于内网用户的使用问题，很多的用户上班时间使用BT下载、浏览一些不正规的网站，这样都会引起内网的诸多问题，比如病毒，很多病毒传播都是使用者不良行为而造成的。

所以说内网用户的控制和管理是非常必要的。

整理：老杨丨10年资深网络工程师，更多网工提升干货，请关注公众号：网络工程师俱乐部