安全设备篇——防火墙

防火墙能说的东西那可太多了。

说到防火墙吧，应该也算是最贴近大众的安全设备了，因为不管是硬件防火墙，还是软件防火墙，windows自带的defender啊之类的，其实很常见。防火墙一般都长这个样子：

（这是我从网上偷的图）

防火墙的功能特别简单，总结成四个字就是——访问控制。

什么是访问控制呢？还是解释给新来的小师傅们听听吧，就是雇个强硬的保安在我家大门口（与any的通信链路之间），我下达指令允许或不允许你访问。完了，没错，确实讲完了，这就是防火墙最主要的功能，哈哈。

当然了，这只是为了方便大家理解，所打的一个比方，实际生产环境中还是需要一些理解和操作能力的。

• 对象

简单点说呢，对象就是你需要指定的目标，比如a的IP地址需要访问b的IP地址，此时a即为源地址，b为目的地址，a和b都是对象，需要先新建a和b两个对象。

• 策略

这就是具体把目的变现的事情，延续上一个例子，将a和b分别设为源地址和目的地址，（可能需要选择策略组之类的，略过。），指定a、b的区域，指定访问的端口，锁定策略。

• 区域划分

一般来讲防火墙中会设置三个区域：trust、untrust和DMZ区，trust和untrust很好理解了，其实就是把企业内外网隔离，但是有些情况下需要外网受限制的访问一部分内网资源怎么办呢？DMZ区（非军事化区），这部分区域呢也叫做缓冲区，可以把一部分需要对外开放的业务放在DMZ区域中，就不会影响trust区域的安全。

• 防火墙plus

以上呢，其实只介绍了防火墙的主要功能上的概念，但是实际来看市面上的防火墙肯定不可能只有这么点功能的，包括下一代防火墙呀，之类，都浓缩到这个位置来讲吧，一方面是让新手师傅们快速了解，二个是可以给接触这类安全设备不多但是又想当安服仔的兄弟们多点简历吹水的余地。

下一代防火墙

这个概念能在网上搜到很多，我就不照着抄了，没啥意思，其实防火墙plus的点也基本在里面了，怎么是下一代呢，其实就是把很多概念融合在一起，集合在防火墙上，再说通俗一点，就是集成了很多功能到防火墙上，例如waf、防病毒之类的。这里多插一句，其实很多新概念的安全产品也是集成了很多功能而诞生的，大家可以去了解一下零信任。（记笔记记笔记！这个面试能水好多）

策略匹配

这个很好理解了，根据源地址、目的地址、端口信息等筛选，是否存在与匹配策略相同的策略，主要是拿来确认的(和甲方battle的，这个策略我明明做了！是你们的问题)。

防火墙系统工具

一般来说防火墙会自带一些系统工具（起码都会给个底层命令行的），用的比较多的是抓包工具，防火墙作为隔离口流量必然会经过的，就算只给了命令行也可以用tcpdump来抓包，这里浅浅附上一条命令供大家参考：

tcpdump -i 网卡 src/dst(源/目的) host and port 端口号

如果需要过滤某个端口号就需要在前面加上port not：

tcpdump -i 网卡 port not 22

黑/白名单

顾名思义，黑名单加了IP不能通行，白名单加了IP全通，且黑/白名单的权限高于策略，但黑/白名单不是每一家安全厂商的防火墙都有的，实测。

• 总结

这么快就到总结了，防火墙其实真的是很简单的设备，这里还是以安全厂家的主流产品防火墙的角度去切入的，所以篇幅很短，当然了，很多细节诸如策略优先级等这里基本略过了，各家厂商的防火墙介绍在官网还是能查到的，所以就不替大家复制粘贴了，防火墙也是安服仔们必须知道的设备，不然封个恶意IP都懵逼，肯定会被甲方爸爸赶出去的。