一、防火墻是什么？
防火墻（Firewall），也稱防護墻，是由Check Point創立者Gil Shwed于1993年發明并引入國際互聯網（US5606668（A）1993-12-15）。它是一種位于內部網絡與外部網絡之間的網絡安全系統。一項信息安全的防護系統，依照特定的規則，允許或是限制傳輸的數據通過。——搜狗百科

通過防火墻還能夠對信息數據的流量實施有效查看，并且還能夠對數據信息的上傳和下載速度進行掌握，便于用戶對計算機使用的情況具有良好的控制判斷，計算機的內部情況也可以通過這種防火墻進行查看，還具有啟動與關閉程序的功能，而計算機系統的內部中具有的日志功能，其實也是防火墻對計算機的內部系統實時安全情況與每日流量情況進行的總結和整理。——百度百科

在這里插入圖片描述

二、防火墻的分類
在這里插入圖片描述

1.包過濾防火墻
定義：在Linux系統下,包過濾功能是內建于核心的（作為一個核心模塊，或者直接內建），同時還有一些可以運用于數據包之上的技巧，不過最常用的依然是查看包頭以決定包的命運。

工作機制：包過濾防火墻將對每一個接收到的包做出允許或拒絕的決定。具體地講，它針對每一個數據包的包頭，按照包過濾規則進行判定，與規則相匹配的包依據路由信息繼續轉發，否則就丟棄。包過濾（IP層實現）根據數據包的源IP地址、目的IP地址、協議類型（TCP包、UDP包、ICMP包）、源端口、目的端口等包頭信息及數據包傳輸方向等信息來判斷是否允許數據包通過。其核心技術就是控制訪問列表

優點：速度比較快，能夠處理的并發連接比較多

缺點：①無法關聯數據包之間的關系，需要設定額外的規則（導致路由器的過濾規則的設置和配置復雜繁瑣）

②無法適應多通道協議，如果額外的連接都是固定端口，可以設定額外的規則

③通常不檢查應用層數據（無法發現基于應用層的攻擊）

④無法阻止ip欺騙

⑤實施的是靜態的、固定的控制，不能跟蹤TCP狀態

⑥不支持用戶認證

2.代理防火墻
定義：這種防火墻通過一種代理（Proxy）技術參與到一個TCP連接的全過程。從內部發出的數據包經過這樣的防火墻處理后，就好像是源于防火墻外部網卡一樣，從而可以達到隱藏內部網結構的作用。這種類型的防火墻被網絡安全專家和媒體公認為是最安全的防火墻。

工作機制：代理服務器作為一個為用戶保密或者突破訪問限制的數據轉發通道，在網絡上應用廣泛。我們都知道，一個完整的代理設備包含一個服務端和客戶端，服務端接收來自用戶的請求，調用自身的客戶端模擬一個基于用戶請求的連接到目標服務器，再把目標服務器返回的數據轉發給用戶，完成一次代理工作過程。那么，如果在一臺代理設備的服務端和客戶端之間連接一個過濾措施呢？這樣的思想便造就了“應用代理”防火墻，這種防火墻實際上就是一臺小型的帶有數據檢測過濾功能的透明代理服務器（Transparent Proxy），但是它并不是單純的在一個代理設備中嵌入包過濾技術，而是一種被稱為“應用協議分析”（Application Protocol Analysis）的新技術。

“應用協議分析”技術工作在OSI模型的最高層——應用層上，在這一層里能接觸到的所有數據都是最終形式，也就是說，防火墻“看到”的數據和我們看到的是一樣的，而不是一個個帶著地址端口協議等原始內容的數據包，因而它可以實現更高級的數據檢測過程。整個代理防火墻把自身映射為一條透明線路，在用戶方面和外界線路看來，它們之間的連接并沒有任何阻礙，但是這個連接的數據收發實際上是經過了代理防火墻轉向的，當外界數據進入代理防火墻的客戶端時，“應用協議分析”模塊便根據應用層協議處理這個數據，通過預置的處理規則（沒錯，又是規則，防火墻離不開規則）查詢這個數據是否帶有危害，由于這一層面對的已經不再是組合有限的報文協議，甚至可以識別類似于“GET> /sql.asp?id=1 and> 1”的數據內容，所以防火墻不僅能根據數據層提供的信息判斷數據，更能像管理員分析服務器日志那樣“看”內容辨危害。而且由于工作在應用層，防火墻還可以實現雙向限制，在過濾外部網絡有害數據的同時也監控著內部網絡的信息，管理員可以配置防火墻實現一個身份驗證和連接時限的功能，進一步防止內部網絡信息泄漏的隱患。最后，由于代理防火墻采取是代理機制進行工作，內外部網絡之間的通信都需先經過代理服務器審核，通過后再由代理服務器連接，根本沒有給分隔在內外部網絡兩邊的計算機直接會話的機會，可以避免入侵者使用“數據驅動”攻擊方式（一種能通過包過濾技術防火墻規則的數據報文，但是當它進入計算機處理后，卻變成能夠修改系統設置和用戶數據的惡意代碼）滲透內部網絡，可以說，“應用代理”是比包過濾技術更完善的防火墻技術。

優點：采用代理機制工作，內外部通信需要經過代理服務器審核，可以實現更高級的數據檢測過程。

缺點：①處理速度比較慢，能夠處理的并發數比較少 ②升級困難

3.狀態檢測防火墻
定義：狀態檢測防火墻在網絡層有一個檢查引擎截獲數據包并抽取出與應用層狀態有關的信息，并以此為依據決定對該連接是接受還是拒絕。這種技術具有較好的適應性和擴展性。狀態檢測防火墻克服了包過濾防火墻和應用代理服務器的局限性，不僅僅檢測“to”和“from”的地址，而且不要求每個訪問的應用都有代理。

工作機制：這是第三代防火墻技術，能對網絡通信的各層實行檢測。同包過濾技術一樣，它能夠檢測通過IP地址、端口號以及TCP標記，過濾進出的數據包。它允許受信任的客戶機和不受信任的主機建立直接連接，不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數據，這些算法通過己知合法數據包的模式來比較進出數據包，這樣從理論上就能比應用級代理在過濾數據包上更有效。狀態監視器的監視模塊支持多種協議和應用程序，可方便地實現應用和服務的擴充。此外，它還可監測RPC和UDP端口信息，而包過濾和代理都不支持此類端口。這樣，通過對各層進行監測，狀態監視器實現網絡安全的目的。目前，多使用狀態監測防火墻，它對用戶透明，在OSI最高層上加密數據，而無需修改客戶端程序，也無需對每個需在防火墻上運行的服務額外增加一個代理。

優點：
① 安全性好

狀態檢測防火墻工作在數據鏈路層和網絡層之間，它從這里截取數據包，因為數據鏈路層是網卡工作的真正位置，網絡層是協議棧的第一層，這樣防火墻確保了截取和檢查所有通過網絡的原始數據包。防火墻截取到數據包就處理它們，首先根據安全策略從數據包中提取有用信息，保存在內存中；然后將相關信息組合起來，進行一些邏輯或數學運算，獲得相應的結論，進行相應的操作，如允許數據包通過、拒絕數據包、認證連接、加密數據等。狀態檢測防火墻雖然工作在協議棧較低層，但它檢測所有應用層的數據包，從中提取有用信息，如IP地址、端口號等，這樣安全性得到很大提高。

②.性能高效

狀態檢測防火墻工作在協議棧的較低層，通過防火墻的所有的數據包都在低層處理，而不需要協議棧的上層處理任何數據包，這樣減少了高層協議頭的開銷，執行效率提高很多；另外在這種防火墻中一旦一個連接建立起來，就不用再對這個連接做更多工作，系統可以去處理別的連接，執行效率明顯提高。

③ 擴展性好

狀態檢測防火墻不像應用網關式防火墻那樣，每一個應用對應一個服務程序，這樣所能提供的服務是有限的，而且當增加一個新的服務時，必須為新的服務開發相應的服務程序，這樣系統的可擴展性降低。狀態檢測防火墻不區分每個具體的應用，只是根據從數據包中提取出的信息、對應的安全策略及過濾規則處理數據包，當有一個新的應用時，它能動態產生新的應用的新的規則，而不用另外寫代碼，所以具有很好的伸縮性和擴展性。

④配置方便,應用范圍廣

狀態檢測防火墻不僅支持基于TCP的應用，而且支持基于無連接協議的應用，如RPC、基于UDP的應用(DNS 、WAIS、
Archie等)等。對于無連接的協議，連接請求和應答沒有區別，包過濾防火墻和應用網關對此類應用要么不支持，要么開放一個大范圍的UDP端口，這樣暴露了內部網，降低了安全性。狀態檢測防火墻實現了基于UDP應用的安全，通過在UDP通信之上保持一個虛擬連接來實現。防火墻保存通過網關的每一個連接的狀態信息，允許穿過防火墻的UDP請求包被記錄，當UDP包在相反方向上通過時，依據連接狀態表確定該UDP包是否被授權的，若已被授權，則通過，否則拒絕。如果在指定的一段時間內響應數據包沒有到達，連接超時，則該連接被阻塞，這樣所有的攻擊都被阻塞.狀態檢測防火墻可以控制無效連接的連接時間，避免大量的無效連接占用過多的網絡資源，可以很好的降低DOS和DDOS攻擊的風險。

缺點：

①回程數據包可以直接放行，不需要設定額外的規則

② 流量只檢測第一個報文，后續的報文命中會話直接轉發，后續包處理速度快

4.常見的防火墻部署結構
在這里插入圖片描述

5.防火墻的安全區域
防火墻分為4類區域，每一類區域會有各自的優先級，優先級越高，越安全。
1.Local區域，優先級100，防火墻自身所屬區域
2.trust區域，優先級85，一般連接受信任網絡
3.untrust區域，優先級5，一般連接不受信任的網絡
4.dmz區域，優先級50，隔離區，必須公開的服務器（諸如web服務器、FTP服務器等）

在這里插入圖片描述

總結

以上是生活随笔為你收集整理的【网络安全学习笔记1】防火墙分类以及各自优缺点的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。