7.5 防火墙

1.防火墙简介

2.防火墙的功能

3.防火墙的类型

4.防火墙的部署位置

---

1.防火墙简介

防火墙想象成小区的"门卫"

a.核心任务: 站在你的网络(比如: 你家, 公司内网)和外部网络(比如: 整个互联网)之间, 根据一套设定好的安全规则, 决

定"谁"可以进, "谁"可以出, 以及"什么东西"可以带进带出

b.根本目的: 保护内部网络的安全, 防止未经授权的访问, 攻击和恶意软件入侵

---

2.防火墙的功能

a.访问控制

- 只允许公司员工从内部访问这个服务器

- 禁止外部任何人访问财务部的电脑

- 只允许来自特定国家的IP访问我们的网站

b.过滤内容

- 检查每个进出的数据包有没有病毒或恶意代码

- 禁止访问某些不安全的网站(比如: 赌博, 恶意软件站点)

- 阻止带有敏感关键词的邮件发出

c.记录和报警

- 记录所有试图"闯关"的访问记录, 像监控录像一样

- 当发现异常或攻击行为时, 立即向管理员发出警报

d.网络地址转换

这是家用路由器防火墙的常见功能; 把你家多台设备(手机, 电脑)的"内部私有地址", 转换成对外的"一个公有IP地址"; 外

面的人看不到你家里具体有哪些设备, 相当于多了一层伪装保护

---

3.防火墙的类型

包过滤防火墙(第一代 - 普通保安)

a.工作方式: 只检查每个数据包的"信封信息", 比如源IP地址、目标IP地址、端口号、协议类型

b.优点: 速度快, 对网络性能影响小

c.缺点: 不够智能, 比如它只看到"从A地址的80端口发往B地址", 但不知道里面具体是什么内容; 容易伪装欺骗

d.比喻: 保安只看你的工牌(IP地址)和你要去的部门(端口), 但不检查你的包里装了啥

状态检测防火墙(第二代 - 更聪明的保安)

a.工作方式: 在包过滤基础上, 还会跟踪网络连接的状态; 它不只看到一个数据包, 而是看到整个"会话"

b.优点: 更安全; 例如, 内部设备主动访问外网, 防火墙会记住这个"合法的会话", 允许外部返回的数据进入; 而对于外部

主动发起的、没有内部请求的访问, 则默认拒绝

c.比喻: 保安不仅看工牌, 还知道"哦，你是刚刚出去取快递的小王，现在回来了，进来吧"; 对于不认识且没有预约的陌

生人一律拦下

应用代理防火墙(第三代 - 严格的传达室)

a.工作方式: 它完全充当中间人, 外部用户要访问内部服务器, 必须先连接到防火墙上的"代理", 由代理代表用户去访问内

部服务器, 再把结果返回给用户; 内外网络不直接通信

b.优点: 安全性极高, 能深度检查应用层数据(如HTTP内容)

c.缺点: 速度慢, 配置复杂, 对每种网络应用(HTTP, FTP)都需要一个对应的代理

d.比喻: 所有访客都必须待在传达室, 由门卫老王亲自去帮你拿东西或传话, 他可能会仔细检查你要传的文件内容

下一代防火墙(NGFW - 全能AI门卫)

a.工作方式: 这是现在的主流, 它融合了以上所有功能, 并加入了

- 深度包检测(DPI): 不仅能看信封, 还能拆开数据包, 分析里面的应用层内容(识别这是微信流量、还是视频流量)

- 入侵防御系统(IPS): 能主动识别并阻断已知的攻击行为

- 集成威胁情报: 能联网获取最新的恶意IP和病毒特征库

b.比喻: 一个装备了人脸识别、X光机、联网犯罪数据库的超级AI保安, 既能快速放行熟人, 又能精准识别危险人物和危险

物品

---

4.防火墙的部署位置

a.网络边界: 最常见, 部署在内网和外网(互联网)的出口处, 保护整个内部网络

b.主机防火墙: 安装在你的个人电脑或服务器上(如Windows Defender防火墙), 只保护这一台设备

c.云防火墙: 部署在云平台上, 保护云中的虚拟网络和资源