防火墙你懂多少？三分钟带你通俗了解-ielab

一、初识网络防火墙
防火墙的基本功能我们这里说的防火墙（Firewall）是一种网络设备，是位于内部网和外部网之间的屏障，它在网络中起到两个最基本的功能：
· 划分网络的边界
· 加固内网的安全

划分网络边界：
防火墙设备的其中一个功能，就是划分网络的边界，严格地将网络分为"外网"和"内网"。"外网"则是不安全的网络，不受信任的网络"内网"则是安全的网络，受信任的网络。

任何一个防火墙设备，在设计上就会强制把"内部"和"外部"的概念。应用在接口上从内部访问外部默认情况下是允许的，但是从外部访问内部默认情况下是禁止的（需要设置相关策略才能从外部到内部访问。）
这种情况就像你到任何一个小区或者单位，你从里面出来的时候一般不管你，但是如果想从外面进去，那就不一定让你进去了。防火墙就相当于是小区的门卫，起到了隔绝内外的作用。

加固内网安全：
刚才说到了防火墙的其中一个功能，就是网络流量流向的问题（内到外可以访问，外到内默认不能访问），这就从一定程度上加强了网络的安全性。另外，防火墙还能从另外一些方面来加固内部网络的安全。

1、隐藏内部的网络拓扑
这种情况用于互联网防火墙。因为内网一般都会使用私有IP地址，而互联网是Internet的IP地址。由于在IPv4环境下IP地址不足，内部使用大量的私有地址，转换到外部少量的Internet地址，这样的话，外部网络就不会了解到内部网络的路由，也就没法了解到内部网络的拓扑了。同时，防火墙上还会使用NAT技术，将内部的服务器映射到外部，所以从外部访问服务器的时候只能了解到映射后的外部地址，根本不会了解到映射前的内部地址。

2、带有安全监测防御
并不是每一款防火墙都有安全检测系统（intrusion detection system，简称"IDS"）是一种对网络传输进行即时监视，在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备。它与其他网络安全设备的不同之处便在于，IDS是一种积极主动的安全防护技术。

3、会话日志功能
防火墙都有"会话记录"功能，每一个数据包在经过防火墙之后，都可以在防火墙的会话表中查询到历史访问记录。比如10.112.100.101的主机在访问外部网络的时候，只要它访问成功，都会被防火墙所记录下来。如果是外部主机访问内部呢？当然，在你的内部网络遭受不安全以后，可以在防火墙上查到从外到内，到底是哪个IP地址非法闯入了。如果确实有外部非法闯入内部的访问，也可以追查防火墙的安全策略设置，看看哪一条安全策略的设置有问题。

二、防火墙在企业环境的应用
1、因为Internet就是一个最典型的"外网"，当企业网络接入Internet的时候，为了保证内部网络不受来自外部的威胁侵害，就会在互联网出口的位置部署防火墙。

2、分支机构接骨干网作边界设备
在电力行业、金融行业等大型跨地，跨省的企业时，为了企业中各个省级、地市级单位的内部数据通信通常都会自建一张骨干网络。在每个省级、地市级单位办公网络接入骨干网时，就可以在网络接入点部署防火墙，进一步提高每个单位的办公网络安全性。

3、数据中心内保护服务器
数据中心是为企业存放重要数据资料的，同时数据中心内会放置各种各样功能不一的服务器。想要保证数据的安全，首先就要保证这些服务器的安全。物理上的安全嘛，你就防火防水防贼呗，应用上的安全，找杀毒软件嘛；但是在网络上的安全，防止非授权人员操作服务器，就需要到防火墙来发挥作用了。一般在传统的数据中心内，会根据不同的功能来决定服务器的分区，然后在每个分区和核心设备的连接处部署防火墙。