防火墙概述

防火墙概述

为了应对网络威胁，将内部信任网络与公共的不可信任网络进行隔离

通过防火墙进行隔离，所以防火墙是一个边界隔离设备，主要隔离的既可以是我们的内网和外网，也可以是内网不同的区域

比如说我内部划分了很多区域，这是我们的宿舍区、教学区，两个区域中间可以通过防火墙去隔离，比如说我在服务端，这边是应用区域、数据库区域，中间可以放防火墙，它可以实现不同区域的隔离

防火墙的区域划分

根据我们网络的受信任程度，以及需要被保护对象可以划分成若干个安全区域，首先我们看一下书上写的，它说可以划分成公共外部网络，比如像internet，internet就是一个区域

内连网，它有很多分公司，总部和分公司之间互联的网络，外联网是内联网的延伸常用作组织与合作伙伴之间的一个通信，打个比方，医院与它的医保支付单位是兄弟单位，合作伙伴他们之间互联的网络叫做外联网，外联网还有军事缓冲区dmz，它是介于内网和外网之间的一个缓冲地带，主要用来放服务器，存放一些公共服务设备，就是服务器，比如我们常说的web经常放到dmz区域，这是第一种划分方法

还有第二种按照华为的划分方法或者其它安全厂商基本上都是这么去划的，它会分成trust、untrust、local、dmz这么四大区域，

防火墙工作原理

防火墙是由一些软硬件组成的网络访问控制器，它根据一定的安全规则来控制，经过防火墙的流量，它的规则其实也比较简单，最后的动作就是静止或者转发对应的英文单词就是permit或者抵赖，禁止就是抵赖，转发就permit允许或者拒绝，它能够屏蔽被保护网络的内部信息拓补结构和运行状况，从而起到网络屏障的一个作用，一般用来隔离我们的内部网络和因特网

白名单的安全性比较高，只有允许规则里面有的，才能通过

防火墙功能与安全风险

防火墙功能包括过滤非安全网络访问、限制网络访问、网络访问审计、网络带宽控制、协同防御；

防火墙如果旁路部署的话，流量没有经过我们的防火墙，就不能检测；第二个防火墙自身的功能缺陷，导致一些网络威胁无法阻断，防火墙不能完全防止感染病毒的软件或文件传输，因为防火墙它要做生物的检测，其实是比较依赖特征库的，如果特征库里面没有，是检测不到的，防火墙的安全机制容易形成单点故障或者特权威胁，单点故障是如果出口放一台防火墙，这个防火墙挂了，整个网络可能就访问不了互联网。

特权威胁比如说防火墙被攻陷了，防火墙就无法有效防止内部的威胁，防火墙是用于边界，用于网络出口的时候用的，防火墙就类似于门口的保安，你如果不走大门，翻墙进入我的小区，门口的保安不能抓到你，检测不到，所以这个小区里面还要有巡逻岗位，就是为了防止你从其他地方翻进来，巡逻岗位对应着我们后面要讲的另外一个设备IDS，入侵检测系统

门口的保安相当于防火墙，无法防止内部的威胁，防火墙的效用受限于它的安全规则，依赖于安全规则的更新，规则是我们自己配，像应用层的防火墙还依赖于我们的特征库，特征库如果不更新，对于很多新的安全工具、安全威胁没法检测

防火墙的发展颗粒度在不断细化，以前我只能检测网络层、传输层，现在我们能检测到应用层，安全功能在持续的增强，分类更加精细化

以前就是一个防火墙，现在防火墙的产品可多了，基本的防火墙有UTM、NGFW（下一代防火墙）、WAF（网页防火墙）、数据库防火墙、视频安全网关（相当于视频防火墙），产品在不断的精细化、智能化

华为在提的AI防火墙，利用了AI技术，能够做更多更深入的一个检测，能够给我们的用户提供更高的安全性能