计算机网络中的防火墙基础

防火墙是一种基于硬件或软件的网络安全设备，它监视所有传入和传出流量，并根据一组定义的安全规则接受、拒绝或丢弃特定流量。

接受：允许流量 拒绝：阻止流量，但回复“无法访问的错误”丢弃： 阻止流量，但不回复 防火墙在安全的内部网络和外部不可信网络（例如 Internet）之间建立了屏障。

计算机网络中的防火墙基础_防火墙

防火墙的历史和需求

在防火墙出现之前，网络安全是通过驻留在路由器上的访问控制列表 (ACL) 来执行的。ACL 是确定是否应授予或拒绝特定 IP 地址的网络访问的规则。但 ACL 无法确定其阻止的数据包的性质。此外，仅 ACL 无法将威胁排除在网络之外。因此，引入了防火墙。对于组织来说，连接互联网不再是可选的。然而，访问互联网可以给组织带来好处；它还使外部世界能够与组织的内部网络进行交互。这对组织造成了威胁。为了保护内部网络免受未经授权的流量的影响，我们需要防火墙。

防火墙如何工作？

计算机网络中的防火墙基础_防火墙_02

防火墙将网络流量与其表中定义的规则集进行匹配。一旦规则匹配，关联操作就会应用于网络流量。例如，规则被定义为人力资源部门的任何员工都不能访问代码服务器的数据，同时定义了另一条规则，例如系统管理员可以访问人力资源部门和技术部门的数据。可以根据组织的必要性和安全策略在防火墙上定义规则。从服务器的角度来看，网络流量可以是传出的，也可以是传入的。防火墙针对这两种情况维护一套不同的规则。大多数来自服务器本身的传出流量被允许通过。尽管如此，为了实现更高的安全性并防止不必要的通信，对传出流量设置规则总是更好。传入流量的处理方式有所不同。到达防火墙的大多数流量都是这三种主要传输层协议之一：TCP、UDP 或 ICMP。所有这些类型都有源地址和目标地址。此外，TCP 和 UDP 也有端口号。ICMP 使用类型代码而不是端口号来标识该数据包的用途。默认策略：明确覆盖防火墙上的每条可能的规则是非常困难的。因此，防火墙必须始终有默认策略。默认策略仅包含操作（接受、拒绝或丢弃）。假设防火墙上没有定义有关与服务器的 SSH 连接的规则。因此，它将遵循默认策略。如果防火墙上的默认策略设置为Accept，则办公室外部的任何计算机都可以与服务器建立 SSH 连接。因此，将默认策略设置为丢弃（或拒绝）始终是一个好的做法。

防火墙的生成

计算机网络中的防火墙基础_防火墙_03

防火墙可以根据其代数进行分类。

1. 第一代-包过滤防火墙：  包过滤防火墙用于通过监视传出和传入的数据包并根据源和目标IP地址、协议和端口允许它们通过或停止来控制网络访问。它分析传输协议层的流量（但主要使用前 3 层）。数据包防火墙隔离地处理每个数据包。他们无法判断数据包是否是现有流量的一部分。它只能根据唯一的数据包标头允许或拒绝数据包。包过滤防火墙维护一个过滤表，决定数据包是被转发还是被丢弃。从给定的过滤表中，数据包将根据以下规则进行过滤： 

计算机网络中的防火墙基础_防火墙_04

1. 来自网络 192.168.21.0 的传入数据包被阻止。
2. 发往内部 TELNET 服务器（端口 23）的传入数据包被阻止。
3. 发往主机 192.168.21.3 的传入数据包被阻止。
4. 允许网络 192.168.21.0 的所有已知服务。
5. 第二代-状态检测防火墙： 状态防火墙（执行状态数据包检查）能够确定数据包的连接状态，与数据包过滤防火墙不同，这使得它更加高效。它跟踪通过其传输的网络连接的状态，例如 TCP 流。因此，过滤决策不仅基于定义的规则，还基于状态表中数据包的历史记录。
6. 第三代-应用层防火墙： 应用层防火墙可以检查和过滤任何OSI层上的数据包，直到应用层。它能够阻止特定内容，还能够识别某些应用程序和协议（如 HTTP、FTP）何时被滥用。换句话说，应用层防火墙是运行代理服务器的主机。代理防火墙阻止防火墙任一侧之间的直接连接，每个数据包都必须通过代理。它可以根据预定义的规则允许或阻止流量。注意：应用层防火墙也可以用作网络地址转换器（NAT）。
7. 下一代防火墙 (NGFW)： 目前正在部署下一代防火墙，以阻止高级恶意软件 Attack 和应用程序 Attack 等现代安全漏洞。NGFW 包含深度数据包检测、应用程序检测、SSL/SSH 检测以及许多保护网络免受这些现代威胁的功能。

什么是魔法防火墙？

计算机网络中的防火墙基础_服务器_05

“Magic Firewall”是一个术语，用于描述网络托管和安全公司 Cloudflare 提供的安全功能。它是一种基于云的防火墙，可防御各种安全威胁，包括 DDoS Attack、SQL 注入、跨站点脚本 (XSS) 以及针对 Web 应用程序的其他类型的Attack。

魔法防火墙的工作原理是分析网站流量并使用一组预定义规则来识别和阻止恶意流量。这些规则基于各种来源的威胁情报，包括公司自己的威胁情报网络，并且可以由网站所有者进行定制，以满足其特定的安全需求。

神奇防火墙被认为是“神奇的”，因为它的设计目的是无缝地工作，并且对网站访问者来说是不可见的，不会对网站性能产生任何明显的影响。它也易于设置和管理，并且可以通过 Cloudflare 基于 Web 的控制面板进行访问。

总体而言，Magic Firewall 是一款功能强大的安全工具，可为网站所有者提供额外的保护层，抵御各种安全威胁。

防火墙的类型

防火墙通常有两种类型：基于主机的防火墙和基于网络的防火墙。

1. 基于主机的防火墙： 基于主机的防火墙安装在每个网络节点上，控制每个传入和传出的数据包。它是一个软件应用程序或应用程序套件，作为操作系统的一部分。需要基于主机的防火墙，因为网络防火墙无法在受信任的网络内部提供保护。主机防火墙保护每台主机免受Attack和未经授权的访问。
2. 基于网络的防火墙： 网络级别的网络防火墙功能。换句话说，这些防火墙过滤网络上的所有传入和传出流量。它通过使用防火墙上定义的规则过滤流量来保护内部网络。网络防火墙可能有两个或更多网络接口卡 (NIC)。基于网络的防火墙通常是安装有专有软件的专用系统。

使用防火墙的优点

1. 防止未经授权的访问：可以设置防火墙来限制来自特定 IP 地址或网络的传入流量，从而防止黑客或其他恶意行为者轻松访问网络或系统。防止不必要的访问。
2. 恶意软件和其他威胁的预防：恶意软件和其他威胁的预防：可以设置防火墙来阻止与已知恶意软件或其他安全问题相关的流量，从而帮助防御此类Attack。
3. 网络访问控制：通过限制特定个人或组对特定服务器或应用程序的访问，可以使用防火墙来限制对特定网络资源或服务的访问。 
4. 监控网络活动：可以设置防火墙来记录和跟踪所有网络活动。这些信息对于识别和调查安全问题和其他类型的可疑行为至关重要。
5. 法规遵从性：许多行业都受到要求使用防火墙或其他安全措施的规则的约束。组织可以遵守这些规则并通过使用防火墙来防止任何罚款或处罚。
6. 网络分段：通过防火墙将较大的网络分割成较小的子网，减少Attack面，提高安全级别。 

使用防火墙的缺点

1. 复杂性：设置和维护防火墙可能既耗时又困难，特别是对于拥有各种用户和设备的大型网络或公司而言。
2. 可见性有限：防火墙可能无法识别或阻止在其他级别（例如应用程序或端点级别）运行的安全风险，因为它们只能观察和管理网络级别的流量。
3. 错误的安全感：一些企业可能过度依赖防火墙，而忽视端点安全或入侵检测系统等其他关键安全措施。
4. 适应性有限：由于防火墙通常是基于规则的，因此它们可能无法响应新的安全威胁。 
5. 性能影响：网络性能可能会受到防火墙的显着影响，特别是当防火墙被设置为分析或管理大量流量时。
6. 可扩展性有限：由于防火墙只能保护一个网络，因此拥有多个网络的企业必须部署许多防火墙，这可能会很昂贵。
7. 有限的 V** 支持：某些防火墙可能不允许复杂的 V** 功能（例如分割隧道），这可能会限制远程工作人员的体验。
8. 成本：为防火墙系统购买许多设备或附加功能可能会很昂贵，特别是对于企业而言。

防火墙的实时应用

计算机网络中的防火墙基础_服务器_06

1. 企业网络：许多企业使用防火墙来防范企业网络上的不必要的访问和其他安全风险。这些防火墙可以设置为仅允许授权用户访问特定资源或服务，并阻止来自特定 IP 地址或网络的流量。 
2. 政府组织：政府组织经常使用防火墙来保护敏感数据并遵守 HIPAA 或 PCI-DSS 等规则。他们可能会利用下一代防火墙 (NGFW) 等尖端防火墙，它可以检测和阻止入侵以及管理对特定数据和应用程序的访问。
3. 服务提供商：服务提供商使用防火墙来保护其网络及其客户的数据，包括 ISP、云服务提供商和托管公司。他们可能会使用能够容纳大量流量并支持 V** 和负载平衡等高级功能的防火墙。 
4. 小型企业：小型企业可能会使用防火墙来隔离其内部网络，限制对特定资源或应用程序的访问，并保护其网络免受外部威胁。
5. 家庭网络：为了防止不必要的访问和其他安全风险，许多家庭用户使用防火墙。许多路由器内置的防火墙可以设置为阻止传入流量并限制对网络的访问。
6. 工业控制系统 (ICS)：防火墙用于保护工业控制系统免受许多重要基础设施（包括发电厂、水处理设施和运输系统）的非法访问和网络Attack