什麼是防火牆？防火牆基礎知識講解

• 2019 年 10 月 26 日
• 筆記

什麼是防火牆

防火牆也被稱為防護牆，它是一種位於內部網路與外部網路之間的網路安全系統，可以將內部網路和外部網路隔離。通常，防火牆可以保護內部/私有區域網免受外部攻擊，並防止重要數據泄露。在沒有防火牆的情況下，路由器會在內部網路和外部網路之間盲目傳遞流量且沒有過濾機制，而防火牆不僅能夠監控流量，還能夠阻止未經授權的流量。

在網路中，所謂「防火牆」，是指一種將內部網和公眾訪問網（如Internet）分開的方法，它實際上是一種隔離技術。防火牆是在兩個網路通訊時執行的一種訪問控制尺度，它能允許你「同意」的人和數據進入你的網路，同時將你「不同意」的人和數據拒之門外，最大限度地阻止網路中的黑客來訪問你的網路。換句話說，如果不通過防火牆，公司內部的人就無法訪問Internet，Internet上的人也無法和公司內部的人進行通訊。

除了將內部區域網與外部Internet隔離之外，防火牆還可以將區域網中的普通數據和重要數據進行分離，所以也可以避免內部入侵。

                                                                          防火牆的工作原理

防火牆有硬體防火牆和軟體防火牆這兩種類型，硬體防火牆允許您通過埠的傳輸控制協議（TCP）或用戶數據報協議（UDP）來定義阻塞規則，例如禁止不必要的埠和IP地址的訪問。軟體防火牆就像互連內部網路和外部網路的代理伺服器，它可以讓內部網路不直接與外部網路進行通訊，但是很多企業和數據中心會將這兩種類型的防火牆進行組合，主要是因為這樣做可以更加有效地提升網路的安全性。

                                                                           硬體防火牆如何選擇

一、網路吞吐量

因為防火牆是通過對進入與出去的數據進行過濾來識別是否符合安全策略的，所以在流量比較高時，要求防火牆能以最快的速度及時對所有數據包進行檢測。否則就可能造成比較長的延時，甚至發生死機。所以網路吞吐量指標非常重要，它體現了防火牆的可用性能，也體現了企業用戶使用防火牆產品的延時代價。如果防火牆對網路造成較大的延時，給用戶造成較大的損失。

選購防火牆的時候第一個要看的指標就是防火牆的吞吐量。當然，這個吞吐量也不是越大越好。因為吞吐量越大的話，防火牆的價格也就越高。要根據企業的實際情況，如現在接入互聯網的頻寬等因素，來選擇的合適的頻寬。

二、協議的優先順序

現在影片應用在企業中使用是越來越廣泛。如影片會議系統、語音電話等等在企業中都很普及。而這些應用都會佔用企業比較大的頻寬。如果企業頻寬跟不上的話，這些應用的品質將會受到很大的影響，如通話的品質可能會時斷時續。就好像手機訊號差一樣。雖然可以通過提高互聯網的接入速度來改善這種情況，但是這不是首選方案。因為增加頻寬需要企業花費比較大的投資。故最理想的解決方案是對企業的通訊流量進行管理。通過防火牆把一些關鍵應用的流量設置為比較高的優先順序。在網路傳輸中，要首先保障這些通訊流量能夠優先通過。這就可以明顯改善語音通話等影片應用的效果。

三、具有一定的擴展性

企業的網路不可能永遠的一成不變。隨著企業規模的擴大，公司內部的網路會不斷的升級，以符合企業日益發展的需要。那麼如何考慮呢？

一是為了後續擴展的需要，最好能夠購買那些模組化設計的防火牆。如此的話，後續增添其他功能的話，只需要購買模組即可。而不需要更換整個硬體防火牆。也就是說選擇的硬體防火牆系統最好是一個可隨意伸縮的模組化解決方案，包括從最基本的包過濾器到帶加密功能的VPN型包過濾器，最終到一個獨立的應用網關的等等。只有如此，才能輕鬆面對企業資訊化應用的升級。

二是考慮網路介面的問題。通常情況下防火牆最基本的配置有兩個網路介面：內部的和外部的網路介面。這些介面對應著訪問網路的信任程度。其中外部網路介面連接的是不可信賴的網路，而內部網路介面連接的是得到信任的網路。在內部網部署時，連接到外部的介面可能需要和公司的主要部分連接，這時可能比外部網路的信任度高，但又稍微低於內部網路的信任度。但是隨著公司網際網路商業需求的複雜化，只有兩個介面的防火牆明顯具有局限性，可能無法滿足企業業務方面的需求。如企業可能出於安全的需要，以後很有可能要用到第三個介面DMZ介面。為此為了以後資訊化應用升級的考慮，在防火牆選購時，還需要關注是否有足夠豐富的介面;或者考慮以後是否可以通過模組的形式來增加可用的介面。