很多人在做完“用路由器或交換機(jī)的ACL功能（ACL概念如下）來(lái)設(shè)置包過(guò)濾防火墻”的實(shí)驗(yàn)后度秘，產(chǎn)生了疑問(wèn)：能否用路由器或交換機(jī)替代專(zhuān)門(mén)的硬件防火墻呢？

ACL是包含以下元素的訪(fǎng)問(wèn)控制列表：
源IP亭珍、目的IP敷钾、源端口、目的端口肄梨、控制（允許或者拒絕）等

網(wǎng)上的一個(gè)回答是阻荒，防火墻的安全策略復(fù)雜程度更高。然而大部分公司防火墻的策略配置并不復(fù)雜众羡，ACL完全能實(shí)現(xiàn)相同策略侨赡。

還有一個(gè)回答是，專(zhuān)業(yè)的事情應(yīng)該交給專(zhuān)業(yè)的設(shè)備來(lái)做粱侣，防火墻處理ACL往往更快羊壹。但我們應(yīng)該知道，當(dāng)前網(wǎng)絡(luò)設(shè)備的CPU和內(nèi)存配置都比較高齐婴，處理起ACL來(lái)也一點(diǎn)不慢油猫。

而我認(rèn)為，之所以不應(yīng)該用路由器或交換機(jī)的ACL功能替代防火墻柠偶，是因?yàn)閮烧叩耐ㄐ趴刂乒δ懿⒉幌嗤郝酚善骱徒粨Q機(jī)的ACL情妖，事實(shí)上起到的是包過(guò)濾的通信控制功能，也就是老式的防火墻功能诱担。我們現(xiàn)在普遍使用的是狀態(tài)檢測(cè)防火墻毡证，狀態(tài)檢測(cè)與包過(guò)濾的最大差異在于其處理數(shù)據(jù)是基于連接還是數(shù)據(jù)包的，這句話(huà)主要包括三層意思蔫仙。

一是：包過(guò)濾防火墻是什么料睛？

包過(guò)濾防火墻是將數(shù)據(jù)通信看作是數(shù)據(jù)包交互的防火墻，它需要設(shè)置ACL訪(fǎng)問(wèn)控制列表摇邦。每次收到數(shù)據(jù)包恤煞，防火墻就會(huì)將數(shù)據(jù)包的五元組和ACL訪(fǎng)問(wèn)控制列表進(jìn)行對(duì)照，然后決定允許通行還是拒絕訪(fǎng)問(wèn)施籍。為了保證數(shù)據(jù)往返阱州，包過(guò)濾防火墻要設(shè)置源到目的、目的到源的兩條控制策略法梯。

二是：狀態(tài)檢測(cè)防火墻是什么？

狀態(tài)檢測(cè)防火墻將通信視為一條又一條的連接。以處理TCP連接為例立哑，狀態(tài)檢測(cè)防火墻在收到源IP的SYN包后夜惭，將其和過(guò)濾規(guī)則進(jìn)行對(duì)照，允許通行的話(huà)铛绰，就會(huì)動(dòng)態(tài)添加一條允許目的IP的SYN/ACK包返回通信的規(guī)則诈茧。如果再收到源IP的響應(yīng)ACK包，則判斷為建立TCP連接捂掰，接下來(lái)會(huì)在這條連接上進(jìn)行數(shù)據(jù)交換敢会。

狀態(tài)檢測(cè)防火墻持續(xù)監(jiān)控這條連接的狀態(tài)，如果超過(guò)一定時(shí)間未被使用这嚣，該連接就會(huì)和之前動(dòng)態(tài)添加的規(guī)則一起被防火墻強(qiáng)制刪除鸥昏，這樣就能夠有效的阻斷非正常的通信狀態(tài)。

第三：狀態(tài)檢測(cè)相比包過(guò)濾的優(yōu)勢(shì)

我們通過(guò)一個(gè)示例來(lái)解釋狀態(tài)檢測(cè)防火墻的優(yōu)勢(shì)姐帚，假設(shè)某臺(tái)內(nèi)網(wǎng)終端需要訪(fǎng)問(wèn)公網(wǎng)上的FTP服務(wù)器吏垮。

• 使用狀態(tài)檢測(cè)防火墻時(shí)，只要有“允許內(nèi)網(wǎng)終端訪(fǎng)問(wèn)FTP服務(wù)器一臺(tái)規(guī)則”即可罐旗。
• 使用包過(guò)濾防火墻時(shí)膳汪，除了“允許內(nèi)網(wǎng)終端訪(fǎng)問(wèn)FTP服務(wù)器”，還需要一條“允許外網(wǎng)的FTP服務(wù)器訪(fǎng)問(wèn)內(nèi)網(wǎng)終端”的規(guī)則九秀。

包過(guò)濾防火墻多出來(lái)的這條由外網(wǎng)訪(fǎng)問(wèn)內(nèi)網(wǎng)的規(guī)則很容易受到攻擊利用遗嗽，比如示例中的FTP協(xié)議回聯(lián)需要開(kāi)放大量的端口，萬(wàn)一外網(wǎng)FTP服務(wù)器受到了攻擊鼓蜒，則內(nèi)網(wǎng)安全也不堪設(shè)想痹换。

因此，我們有必要通過(guò)部署專(zhuān)門(mén)的防火墻友酱，而不僅僅是依靠路由器或交換機(jī)的ACL功能晴音，以實(shí)現(xiàn)更加安全可靠的網(wǎng)絡(luò)控制。