防火牆為什麼叫防火牆（防火牆基礎知識）

近年來，越來越多的人使用網路進行交易，網路安全越來越受到人們的關注。在2018年全球風險報告中，網路安全問題排名前三，僅次於自然災害與極端天氣事件，這足以說明網路安全的重要性，而防火牆則是網路安全防護的必備產品。“防火牆”這個詞可能大家都聽過但不是特別熟悉，今天給大家詳細普及一下什麼是防火牆。

1、防火牆基本定義：

防火牆指的是一個由軟體和硬體裝置組合而成、在內部網和外部網之間、專用網與公共網之間的介面上構造的保護屏障.是一種獲取安全性方法的形象說法，它是一種計算機硬體和軟體的結合，使安全域與安全域之間建立起一個安全閘道器。

2、防火牆功能：

路由功能:靜態路由、動態路由、策略路由、ISP路由等。

NAT功能:將內部網路的私有IP地址轉換為公有IP地址。

埠對映:就是將外網主機的IP地址的一個埠對映到內網中一臺機器，提供相應的服務。當使用者訪問該IP的這個埠時，自動將請求對映到對應區域網內部的機器上。

安全策略:通過對源地址、目的地址、服務、時間、允許/阻止等內容進行配置做相關安全訪問策略。

頻寬管理:流控功能（簡單的用用還行，要像管理效果好，還是要使用專門的流控裝置）

會話管理:對通過防火牆裝置會話經行統計、分析、控制等

VPN功能: IPSEC VPN 、SSL VPN、PPTP 、L2TP 、GRE等

其他功能: 病毒防護、入侵防護、漏洞掃描、上網行為管理。

以上功能根據廠家不同功能模組也會有所不同，請根據實際情況選擇。現在防火牆已具備所有路由器功能，所以很多時候可以用防火牆直接替換路由器，新建網路直接用防火牆做出口。

3、防火牆部署：

路由模式：多用於出口部署配置NAT、路由、埠對映。此模式下防火牆所有功能均可以正常使用。

透明模式：多用於串聯與網路中，對兩個不通安全域做邊界防護。此模式下埠對映功能、NAT功能、VPN功能無法使用。

旁路模式：使用場景較少，代替VPN裝置使用時旁路部署。

路由模式與透明模式，部署場景也需要根據實際情況來選擇，路由模式需要對網路進行改動，透明模式對當前網路無需進行改動，透明模式下部分功能無法使用。

4、防火牆雙機熱備: 主主、主備

傳統組網中，只有一臺防火牆部署在出口，當防火牆出現故障後，內部網路中所有以防火牆作為預設閘道器的主機與外部網路之間的通訊中斷，通訊可靠性無法保證。

雙機熱備份技術的出現改變了可靠性難以保證的尷尬狀態，通過在網路出口位置部署兩臺或多臺閘道器裝置，保證了內部網路於外部網路之間的通訊暢通。

防火牆作為安全裝置，一般會部署在需要保護的網路和不受保護的網路之間，即位於業務介面點上。在這種業務點上，如果僅僅使用一臺防火牆裝置，無論其可靠性多高，系統都可能會承受因為單點故障而導致網路中斷的風險。為了防止一臺裝置出現意外故障而導致網路業務中斷，可以採用兩臺防火牆形成雙機備份。

5、防火牆引數：

裝置吞吐量：裝置傳輸資料量，對應到具體裝置選型時關注的引數為頻寬

裝置併發連線數：能夠同時處理的點對點連線的最大數目，對應到具體裝置選型時關注的引數為同時線上人數

裝置新建連線數：防火牆一秒內建立的連線數

裝置介面: 裝置配備的電口、光口、等物理介面

裝置選型方面，沒有特殊要求，裝置介面數都可以滿足需要，如果有特殊需要購買前需要提前溝通、主要關注裝置吞吐量與併發連線數兩個引數，選擇時需要考慮以後網路擴容，避免重複購買。

6、防火牆應用場景:

出口閘道器:比較常見的使用場景，使用防火牆在網際網路出口處，提供NAT、路由、埠對映等功能。

安全域邊界防護:專網或大型網路內對各個不同安全域進行隔離防護。

IPSEC VPN:兩臺或兩臺裝置之間使用IPSEC VPN進行互聯，多用於總部與分支網路使用。

通過上面詳細的介紹，希望可以幫助大家更清楚的瞭解到了網路防火牆的一些基本知識。目前國內的安全防火牆廠商魚龍混雜，企業在選擇時不要只看價格，很多防火牆價格的確很低但根本沒有什麼防護能力，要多維度對比，選擇價效比最高最適合自己的安全防火牆。