防火墙工作原理详解

在数字化时代，企业内网与互联网的互联互通带来了便利，也埋下了网络攻击、数据泄露等安全隐患。防火墙作为网络安全的核心基础设施，就像企业网络的 “智能门禁”，通过精细化的流量管控，为内部网络筑起一道坚实的安全防线。下面我们结合完整流程，拆解防火墙的核心工作原理。

一、防火墙的核心工作流程（6 步拆解）

防火墙的本质是基于预设安全规则的流量过滤器，所有进出网络的数据包都必须经过它的检查，只有符合规则的流量才能通行，整个流程分为 6 个核心环节：

1. 客户端发起访问请求

当局域网内的终端设备（如办公电脑，IP 如 192.168.1.10/11/12）需要访问外部服务器、互联网资源时，会主动发起网络请求，这些请求以数据包的形式，从内网设备发出，进入网络传输链路。

2. 防火墙启动流量检查

所有进出网络的数据包，都会被防火墙拦截并进行详细分析。作为网络安全的第一道屏障，防火墙会对数据包的源 IP、目的 IP、端口号、传输协议（TCP/UDP/ICMP 等）等核心字段进行深度解析，为后续规则匹配做准备。

3. 安全规则匹配校验

防火墙会将解析后的数据包信息，与管理员预先配置的安全规则进行逐一匹配。这些规则明确了允许 / 拒绝的访问策略，例如：

允许内网 192.168.1.0/24 网段访问互联网 80/443 端口（HTTP/HTTPS 网页服务）

• 拒绝外网主动访问内网所有非授权端口
• 仅允许指定 IP 访问内网服务器的 3389 远程桌面端口
• 4. 执行允许 / 阻断决策

根据规则匹配结果，防火墙会执行对应操作：

• 允许通行：数据包符合安全规则，防火墙会放行流量，通过路由设备转发至目标网络
• 阻断丢弃：数据包违反安全规则，防火墙会直接丢弃该数据包，同时可生成告警日志，记录攻击源、时间、类型等信息
• 5. 目标服务器处理请求

合法流量通过防火墙后，经互联网路由转发，最终到达目标服务器。服务器接收有效请求后，按照业务逻辑进行处理，并生成响应数据包。

6. 响应数据回传内网

服务器的响应数据包会再次经过防火墙，防火墙会对回包进行二次校验（匹配会话状态，确保是合法请求的响应），校验通过后，转发至内网发起请求的客户端，完成一次完整的网络访问。

二、防火墙的核心技术原理

1. 核心工作机制

包过滤技术：防火墙最基础的能力，通过检查数据包的 IP 头、端口、协议等信息，快速匹配规则，实现流量的 “放行 / 阻断”，处理效率高，是所有防火墙的基础能力。

状态检测技术：在包过滤的基础上，记录 TCP/UDP 会话的状态（如三次握手、连接建立 / 断开），仅允许合法会话的回包通行，大幅提升安全性，有效防范端口扫描、SYN Flood 等攻击。

应用层网关（代理）技术：针对应用层流量进行深度解析，可识别 HTTP、FTP、DNS 等应用协议，实现更精细化的管控（如禁止内网访问特定网站、限制 P2P 下载），安全性更高，但会增加一定的延迟。

2. 核心价值

边界防护：隔离内网与外网，阻断非法访问，保护内部核心资产

访问管控：基于业务需求，精细化管控内外网的访问权限，实现 “最小权限” 原则

日志审计：记录所有流量访问日志，为安全事件溯源、合规审计提供依据

攻击防护：集成防 DDoS、入侵防御、病毒过滤等能力，抵御常见网络攻击

三、华为边界防火墙典型配置案例（USG6000 系列）

以下以华为 USG6000 系列防火墙为例，提供企业边界防火墙的基础配置方案，实现内网访问互联网、外网访问内网服务器、安全防护的核心需求，适用于中小型企业场景。

1. 组网拓扑

内网网段：192.168.1.0/24（办公终端），网关为防火墙内网接口 G0/0/1，IP：192.168.1.1/24

外网接口：G0/0/0，IP：203.0.113.10/24，网关：203.0.113.1（运营商地址）

DMZ 区（服务器区）：192.168.2.0/24，网关为防火墙 DMZ 接口 G0/0/2，IP：192.168.2.1/24，部署 Web 服务器（192.168.2.10）

2. 基础配置步骤（命令行模式）

（1）配置接口 IP 地址

# 进入系统视图
system-view
# 配置外网接口G0/0/0
interface GigabitEthernet 0/0/0
 ip address 203.0.113.10 255.255.255.0
 undo shutdown
# 配置内网接口G0/0/1
interface GigabitEthernet 0/0/1
 ip address 192.168.1.1 255.255.255.0
 undo shutdown
# 配置DMZ接口G0/0/2
interface GigabitEthernet 0/0/2
 ip address 192.168.2.1 255.255.255.0
 undo shutdown

（2）配置默认路由（访问互联网）

# 配置默认路由，下一跳为运营商网关
ip route-static 0.0.0.0 0.0.0.0 203.0.113.1

（3）配置安全区域（华为防火墙核心概念）

华为防火墙通过安全区域划分网络，默认包含 Trust（内网，高安全）、Untrust（外网，低安全）、DMZ（服务器区，中等安全），需将接口绑定到对应区域：

# 将内网接口G0/0/1绑定到Trust区域
firewall zone trust
 add interface GigabitEthernet 0/0/1
# 将外网接口G0/0/0绑定到Untrust区域
firewall zone untrust
 add interface GigabitEthernet 0/0/0
# 将DMZ接口G0/0/2绑定到DMZ区域
firewall zone dmz
 add interface GigabitEthernet 0/0/2

（4）配置 NAT（内网访问互联网）

通过源 NAT 实现内网终端共享公网 IP 访问互联网：

# 配置NAT地址池
nat address-group 1 203.0.113.10 203.0.113.10
# 配置NAT策略，允许Trust区域访问Untrust区域时进行地址转换
nat-policy
 rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 24
  action nat address-group 1

（5）配置安全策略（核心访问管控）

策略 1：允许内网访问互联网

security-policy
 rule name trust_to_untrust
  source-zone trust
  destination-zone untrust
  source-address 192.168.1.0 24
  action permit

策略 2：允许外网访问 DMZ 区 Web 服务器（80/443 端口）

 rule name untrust_to_dmz_web
  source-zone untrust
  destination-zone dmz
  destination-address 192.168.2.10 32
  service http https
  action permit

策略 3：允许 DMZ 区服务器回包访问内网（如数据库同步）

 rule name dmz_to_trust
  source-zone dmz
  destination-zone trust
  source-address 192.168.2.0 24
  action permit

• 默认拒绝所有未匹配流量（华为防火墙默认策略，无需额外配置）

（6）配置目的 NAT（外网访问内网服务器）

将公网 IP 203.0.113.11 映射到 DMZ 区 Web 服务器 192.168.2.10：

nat server web_server protocol tcp global 203.0.113.11 80 inside 192.168.2.10 80
nat server web_server_https protocol tcp global 203.0.113.11 443 inside 192.168.2.10 443

（7）配置基础安全防护

# 开启防DDoS基础防护
anti-ddos basic
# 开启入侵防御（IPS），默认防护规则
ips enable
# 配置日志上传，将安全日志发送到日志服务器
info-center enable
info-center loghost 192.168.1.20

3. 配置验证

内网终端可正常访问互联网，外网无法主动访问内网非授权端口

外网用户可通过公网 IP 203.0.113.11 正常访问 Web 服务

防火墙日志可查看所有流量访问记录，异常访问会生成告警

• 另：点击下方工具可免费使用阿祥自制的ICT随身工具箱↓ 常用厂商指令查找、故障码查询、快捷脚本生成，一网打尽。