前言

今天，給大家講講防火墻，防火墻和路由器、交換機一樣都是網絡中不可或缺的設備。

那么什么是防火墻呢？為什么需要防火墻呢？防火墻和路由器、交換機有什么區別呢？

為什么需要防火墻

如下圖所示，內部網絡和外部網絡互訪時，內部網絡可能存在一些安全隱患，可能被攻擊。

這個時候就需要在內部網絡和外部網絡之間有一個設備能夠保護內網。那么這個設備就是防火墻。

防火墻能夠實現如下業務述求；

（1）外部網絡安全隔離；

（2）內部網絡安全管控；

（3）內容安全過濾；

（4）入侵防御

（5）防病毒等

什么是防火墻

1、防火墻概念

防火墻就類似于我們家里的門，進出家里都需要經過門，門其實起到了一個安全保護的作用。

下面看下官方的定義:

防火墻是一種安全設備，保護一個網絡區域免受另一個網絡區域的攻擊和入侵，通常被部署在網絡邊界，例如：企業互聯網出口；

簡單講防火墻作為網絡中的設備，它的作用也是對網絡起到安全保護的作用，對進出網絡的流量進量進行安全管理，保證內網的安全性。

2、防火墻分類

（1）按照硬件形態，防火墻可以分為盒式防火墻、框式防護墻；

（2）按照軟硬件區分：防火墻可以分為軟件防火墻和硬件防火墻；

（3）按照防火墻技術原理：防火墻可以分為包過濾防火墻、狀態檢測防火墻，AI防火墻；（后面章節會詳細介紹這3種防火墻的區別。）

防火墻和交換機、路由器區別

如上圖所示：

（1）交換機的作用是接入終端和匯聚內部路由，負責二三層報文的轉，發構建一個內部的園區網絡；

（2）路由器的作用是路由尋址和轉發，構建外部連接網絡。

（3）防火墻的作用是流量控制和安全防護，區分和隔離不同安全區域；

防護墻和路由器的轉發流程對比

防火墻的轉發流程比路由器要復雜：

以框式設備為例：

硬件上除了接口、LPU、交換網板的等外，還有防火墻特有的SPU，用于實現防火墻的安全功能。

SPU可以進行：

DDOS攻擊防范；

匹配會話；

狀態檢測；

認證策略；

安全策略；

NAT策略；

等等

防火墻應用場景

1、企業邊界防護

如下圖所示，企業內網業務部署在trust區，服務器部署在DMZ。

（1）企業內網訪問internet時經過防火墻，防火墻控制內外網流量，進行安全控制；

（2）外網用戶訪問服務器時經過防火墻，對內網服務器進行保護；

2、內網安全隔離

如下圖所示：公司分為市場部、生產部，財經部，研發部，不同部分之間互訪經過防火墻。通過防火墻進行安全控制。

3、數據中心邊界防護

數據中心網絡訪問internet時，需要經過防火墻進行安全控制，對內網業務進行安全保護。

4、數據中心安全聯動

數據中心網絡一般采用Spine-Leaf架構。

Spine為骨干節點負責流量高速轉發;

Leaf為葉子節點負責服務器、防火墻或其他設備接入。

Spine-Leaf之間全三層互聯。

如下圖所示，防火墻旁掛在數據中心核心spine，核心出Internet的流量重定向到防火墻進行安全控制。