今天，給大家講講防火墻凰浮，防火墻和路由器我抠、交換機(jī)一樣都是網(wǎng)絡(luò)中不可或缺的設(shè)備。

圖片

那么什么是防火墻呢袜茧？為什么需要防火墻呢菜拓？防火墻和路由器、交換機(jī)有什么區(qū)別呢笛厦？

圖片

為什么需要防火墻

如下圖所示纳鼎，內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)互訪時(shí)，內(nèi)部網(wǎng)絡(luò)可能存在一些安全隱患裳凸，可能被攻擊贱鄙。

圖片

這個(gè)時(shí)候就需要在內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間有一個(gè)設(shè)備能夠保護(hù)內(nèi)網(wǎng)。那么這個(gè)設(shè)備就是防火墻姨谷。

防火墻能夠?qū)崿F(xiàn)如下業(yè)務(wù)述求逗宁；

（1）外部網(wǎng)絡(luò)安全隔離；

（2）內(nèi)部網(wǎng)絡(luò)安全管控梦湘；

（3）內(nèi)容安全過濾瞎颗；

（4）入侵防御

（5）防病毒等

什么是防火墻

1件甥、防火墻概念

防火墻就類似于我們家里的門，進(jìn)出家里都需要經(jīng)過門言缤，門其實(shí)起到了一個(gè)安全保護(hù)的作用嚼蚀。

圖片

下面看下官方的定義:

防火墻是一種安全設(shè)備禁灼，保護(hù)一個(gè)網(wǎng)絡(luò)區(qū)域免受另一個(gè)網(wǎng)絡(luò)區(qū)域的攻擊和入侵管挟，通常被部署在網(wǎng)絡(luò)邊界，例如：企業(yè)互聯(lián)網(wǎng)出口弄捕；

圖片

簡單講防火墻作為網(wǎng)絡(luò)中的設(shè)備僻孝，它的作用也是對網(wǎng)絡(luò)起到安全保護(hù)的作用，對進(jìn)出網(wǎng)絡(luò)的流量進(jìn)量進(jìn)行安全管理守谓，保證內(nèi)網(wǎng)的安全性穿铆。

2、防火墻分類

（1）按照硬件形態(tài)斋荞，防火墻可以分為盒式防火墻荞雏、框式防護(hù)墻；

圖片

（2）按照軟硬件區(qū)分：防火墻可以分為軟件防火墻和硬件防火墻平酿；

（3）按照防火墻技術(shù)原理：防火墻可以分為包過濾防火墻凤优、狀態(tài)檢測防火墻，AI防火墻蜈彼；（后面章節(jié)會詳細(xì)介紹這3種防火墻的區(qū)別筑辨。）

圖片

防火墻和交換機(jī)、路由器區(qū)別

圖片

如上圖所示：

（1）交換機(jī)的作用是接入終端和匯聚內(nèi)部路由幸逆，負(fù)責(zé)二三層報(bào)文的轉(zhuǎn)棍辕，發(fā)構(gòu)建一個(gè)內(nèi)部的園區(qū)網(wǎng)絡(luò)；

（2）路由器的作用是路由尋址和轉(zhuǎn)發(fā)还绘，構(gòu)建外部連接網(wǎng)絡(luò)楚昭。

（3）防火墻的作用是流量控制和安全防護(hù)，區(qū)分和隔離不同安全區(qū)域拍顷；

防護(hù)墻和路由器的轉(zhuǎn)發(fā)流程對比

防火墻的轉(zhuǎn)發(fā)流程比路由器要復(fù)雜：

圖片

圖片

以框式設(shè)備為例：

硬件上除了接口哪替、LPU、交換網(wǎng)板的等外菇怀，還有防火墻特有的SPU凭舶，用于實(shí)現(xiàn)防火墻的安全功能。

圖片

SPU可以進(jìn)行：

• DDOS攻擊防范爱沟；

• 匹配會話帅霜；

• 狀態(tài)檢測；

• 認(rèn)證策略呼伸；

• 安全策略身冀；

• NAT策略钝尸；

• 等等

防火墻應(yīng)用場景

1、企業(yè)邊界防護(hù)

如下圖所示搂根，企業(yè)內(nèi)網(wǎng)業(yè)務(wù)部署在trust區(qū)珍促，服務(wù)器部署在DMZ。

（1）企業(yè)內(nèi)網(wǎng)訪問internet時(shí)經(jīng)過防火墻剩愧，防火墻控制內(nèi)外網(wǎng)流量猪叙，進(jìn)行安全控制；

（2）外網(wǎng)用戶訪問服務(wù)器時(shí)經(jīng)過防火墻仁卷，對內(nèi)網(wǎng)服務(wù)器進(jìn)行保護(hù)穴翩；

圖片

2、內(nèi)網(wǎng)安全隔離

如下圖所示：公司分為市場部锦积、生產(chǎn)部芒帕，財(cái)經(jīng)部，研發(fā)部丰介，不同部分之間互訪經(jīng)過防火墻背蟆。通過防火墻進(jìn)行安全控制。

圖片

3哮幢、數(shù)據(jù)中心邊界防護(hù)

數(shù)據(jù)中心網(wǎng)絡(luò)訪問internet時(shí)带膀，需要經(jīng)過防火墻進(jìn)行安全控制，對內(nèi)網(wǎng)業(yè)務(wù)進(jìn)行安全保護(hù)家浇。

圖片

4本砰、數(shù)據(jù)中心安全聯(lián)動

數(shù)據(jù)中心網(wǎng)絡(luò)一般采用Spine-Leaf架構(gòu)。

• Spine為骨干節(jié)點(diǎn)負(fù)責(zé)流量高速轉(zhuǎn)發(fā);

• Leaf為葉子節(jié)點(diǎn)負(fù)責(zé)服務(wù)器钢悲、防火墻或其他設(shè)備接入点额。

• Spine-Leaf之間全三層互聯(lián)。

如下圖所示莺琳，防火墻旁掛在數(shù)據(jù)中心核心spine还棱，核心出Internet的流量重定向到防火墻進(jìn)行安全控制。

圖片