1. 防火墙概述
   1. 网络防火墙
   2. 主机防火墙
   3. 防火墙技术
   4. 防火墙的本质
   5. 防火墙的作用
      1. 1.安全域划分与安全策略部署
      2. 2.根据访问控制列表实现访问控制
      3. 3.防止内部信息的外泄
      4. 4.审计功能
      5. 5.部署网络地址转换
   6. 防火墙的局限性
2. 防火墙关键技术
   1. 数据包过滤技术
      1. 数据包过滤优点
      2. 数据包过滤缺点
   2. 应用层代理技术
      1. 应用层代理防火墙 优点
      2. 应用层代理防火墙 缺点
   3. 状态监测技术
      1. 状态检测技术的优点
      2. 状态检测技术的缺点
   4. 网络地址转换技术
      1. 网络地址的转换方式
         1. 多对 1 映射
         2. 1 对 1 映射
      2. 多对多映射
      3. 网络地址转换的优点
   5. 个人防火墙技术
      1. 个人防火墙优点
      2. 个人防火墙缺点

防火墙概述

防火墙（Firewall） 缩写为 FW

防火墙的本义是一个建筑设计专业术语，用于防止火灾蔓延至相邻区域，一般使用耐火极限不低于一定时限的，不可能墙体对区域进行划分，防止建筑之间火灾的蔓延，从古至今国内外建筑上均有使用，有些甚至演变成一种建筑风格，例如著名的徽派建筑马头墙，其原型就是防火墙。

在计算机网络中，防火墙是一套网络安全防御系统，依据事先制定好的安全规则，对相应的网络数据流进行监视和控制。

硬件外形是多网络接口的机架服务器，在网络拓扑图中所使用红墙的图标来表示。

防火墙的应用场景不同，也可以分为

网络防火墙和主机防火墙

网络防火墙

用于两个或者多个网络之间数据流的监控，通常使用专门的硬件来实现，并在硬件上安装特定的防火墙软件

主机防火墙

是运行在用户主机上的一套软件，用来监视和控制出入该主机的所有数据流

这里重点介绍网络防火墙

防火墙技术

防火墙是部署在不可信外部网络和可信本地网络的边界处，外部网络是不可信任的网络，比如开放的互联网，网络是可信的网络（受保护的网络公司或者企业内部网），网络之间交互的所有数据流都需要经过防火墙的处理，才能决定是否让这些数据放弃，一旦发现异常数据流量就将其拦截下来，实现对本地网络的保护功。

这是一种实现网络之间访问控制的手段，外部网络用户以非法手段进入内部网络，访问内部网络资源，在可信任网络和不可信任网络之间设置一套硬件的网络安全防御体系，实现网络数据流的检查和控制。

防火墙的本质

防火墙是安装在并运行在一台或多台主机上的特殊软件。

这些硬件设备是专门针对网络数据流的检查和控制进行专门设计的，逸满足网络中数据包处理速度和转发时延的要求，数据流的访问控制由安装的防火墙软件执行。

防火墙的作用

1.安全域划分与安全策略部署

安全域划分与安全策略部署，将安全需求相同的接口和 IP 地址划分到相同的策略的分层管理

2.根据访问控制列表实现访问控制

根据访问控制列表实现访问控制，我们通过定义报文匹配规则，实现数据包的过滤

3.防止内部信息的外泄

防止内部信息的外泄，防火墙可以屏蔽泄露内部细节服务的信息，将内部网络结构隐藏起来

4.审计功能

防火墙可以对网络连接记录、历史记录、故障记录等都具有很好的审计功能

5.部署网络地址转换

部署网络地址转换，可以缓解内部网络 IP 地址短缺问题，隐藏内部地址信息

通过安装防火墙可以屏蔽掉大多数外部网络发起的已知探测与攻击

例如不允许外部网络数据包的通过，那么外网就不能够使用 ping 命令主机检测来确定内部网络中主机是否存活，如果没有防火墙，那么根据木桶原理，内部网络的安全性是由内部网络中安全性最差的主机决定，维护并提高每一台主机的安全性是非常困难的，代价也是非常大的，但是如果安装了防火墙，防火墙，就是内部网络和外部网络通信的唯一通道，网络管理员可以把精力重点放在防火墙的管理上。

防火墙的局限性

• 无法防范来自网络内部的恶意攻击
• 无法防范不经过防火墙的攻击
• 防火墙会带来传输的延迟、通信的瓶颈和单点失效等问题
• 防火墙对服务器合法开放端口的攻击是无法组织的
• 防火墙本身也会存在漏洞而遭受攻击
• 防火墙不能处理病毒和木马攻击的行为
• 限制了存在安全缺陷的网络服务，影响了用户使用服务的便利性。

防火墙关键技术

数据包过滤技术

数据包过滤技术，包过滤防火墙是第 1 代防火墙，也是最基本形式的防火墙，它通过检查网络中每个数据包，根据访问控制列表的通信规则，决定对一个数据包的放行和丢弃。

包过滤防火墙，通过多个网络接口连接到多个网络中。

在防火墙中检查每个数据包的基本信息，这些信息包括

• IP 地址
• 数据包的协议类型
• 端口号
• 进出的网络接口

然后对这些信息约定的访问控制列表进行对比，判断数据包是否可以放行。

数据包过滤优点

对用户透明、通过路由器实现、处理速度快

数据包过滤缺点

规则表的制定复杂、核查简单、以单个数据包为处理单位

应用层代理技术

作用在应用层，它用来提供应用层服务的控制，在内部网络向外部网络申请服务时起到中间转接作用。

它代替各种网络客户端执行应用链接，访问都在应用层进行控制，提供两极连接和地址转换功能，实现内外网络的隔离，对于 IP 地址端口，报文内容均进行检测，每一种应用服务需要一个不同的应用代理程序，对每个新的应用必须添加对此应用的服务程序

应用层代理防火墙 优点

• 不允许直接访问内部主机，将内外网完全隔离，使得网络更加安全
• 可以提供多种用户认证方案
• 可以分析数据包内部的应用命令
• 可以提供详细的审计记录

应用层代理防火墙 缺点

• 对于每一种应用服务都必须为其设计一个代理软件模块来进行安全控制，而每一种网络应用服务的安全问题各不相同，分析困难，因此实现起来也很困难
• 新开发的应用无法通过相应的电影代理，由于检查整个应用报的内容，存在延迟的问题

状态监测技术

状态检测技术采用一种基于连接的状态检测机制，将属于同一个连接的所有包作为一个整体的数据流来看待，建立连接状态表，维护规则表和状态表的共同配合，动态的数据包是否被允许进入防火墙内部网络。

状态检测技术，防火墙工作于网络层，传输层和电影城，通过防火墙的网络连接和数据包并使用一组状态检测标准，以确定是否允许或拒绝通信。

状态检测技术的优点

• 具备处理速度和灵活性
• 具备理解应用程序状态的能力和高度安全性
• 减小了伪造数据包通过防火墙的可能性

状态检测技术的缺点

• 记录了状态，信息会导致网络的迟滞
• 需要跟踪各种类型的协议，技术实现较为复杂

网络地址转换技术

网络地址转换最初用来解决私有 IP 地址主机的上网问题，通常防火墙连接的可信网络都是使用私有 IP 地址的内部网络，互联网的使用，在防火墙上设置一个合法的 IP 配置，转换成公共地址，发送到互联网上，这就是我们所说的网络地址转换的功能。

网络地址的转换方式

多对 1 映射

多个内部网络地址翻译到一个 IP 地址，来自内部不同的连接请求可以用不同端口号来区分。
对于普通家庭这是一种比较方便的使用方案。

1 对 1 映射

网关将内部网络上的每台计算机映射到 NAT 的合法地址集中唯一的一个 IP 地址。常用于 Web 服务器。

多对多映射

将大量的不可路由的内部 IP 地址转换为少数的合法 IP 地址。分为静态翻译、动态翻译

网络地址转换的优点

• 对外隐藏内部网络主机地址
• 实现了网络负载均衡
• 缓解了互联网 IP 地址不足问题

个人防火墙技术

安装在本地计算机上的系统安全软件，可以监视传入传出网卡的所有网络通信，使用计算机状态监测技术，保护一台计算机免受攻击。

个人防火墙优点

增加了保护级别，不需要额外的硬件资源，通常是免费的软件

个人防火墙缺点

个人防火墙遭受攻击后，可能会失效，而将主机暴露在网络上。

防火墙是网络的第一道屏障
防火墙是网络安全防护系统中的重要组成部分
在实际应用中，防火墙的构筑通常是多种关键技术有机组合，以实现内部网络的保护。