01防火墙（FW）

防火墙是网络安全的基石。

防火墙（FireWall）是一种网络安全系统，它位于两个或多个网络之间（最典型的是在受信任的内部网络和不受信任的外部网络（如互联网）之间），通过预定义的安全策略控制网络之间的流量。

它是网络安全架构中最基础、最核心的第一道防线，其核心功能是建立一个屏障，对网络通信进行访问控制。

> 比喻

防火墙就像银行的门卫或安检门。

它根据一套规则（如“只有佩戴工牌的员工才能进入金库”、“任何人不得携带武器进入”），来决定谁可以进入、从哪里进入、以及可以到哪里去。

## 特点

访问控制：这是防火墙最基本、最核心的功能。它通过一系列规则（策略）来允许或拒绝特定的数据包通过。

网络边界防御：防火墙强制所有流量都必须经过它，从而在网络之间建立一个可控的检查点。

策略驱动：防火墙的行为完全由管理员配置的安全策略所决定。策略的质量直接决定了防火墙的有效性。

单向性：传统防火墙主要提供由外到内的防护，但现代防火墙也强调由内到外的控制和内部区域之间的隔离。

## 主要类型

### **包过滤防火墙（第一代）**

工作层级：网络层和传输层。

决策依据：基于数据包的源IP地址、目标IP地址、源端口、目标端口和协议类型（TCP/UDP/ICMP）。

工作原理：将每个数据包与一组规则（ACL）进行比较，决定是允许还是拒绝。

优点：处理速度快、开销小。

缺点：无法理解连接状态（如无法区分一个数据包是新建连接还是已有连接的一部分），无法检查数据包内容，容易被欺骗。安全性最低。

### **状态化防火墙（第二代）**

工作层级：网络层和传输层，但能跟踪连接状态。

核心概念：状态检测。防火墙会维护一个连接状态表，记录所有通过它的连接（如TCP三次握手）。

工作原理：对于一个入站数据包，它不仅检查规则，还会检查连接状态表。例如，它只允许那些属于已建立连接的数据包进入内网，而拒绝所有未经请求的入站连接。

优点：比包过滤防火墙安全得多，能有效防御IP欺骗等攻击。是目前最基础的防火墙技术。

缺点：仍然无法识别数据包内的具体应用和内容。

### **应用层防火墙/代理防火墙（第三代）**

工作层级：应用层。

工作原理：它作为通信双方的中间人。内部用户访问外部服务时，必须先连接到代理防火墙，由代理防火墙代表用户与外部服务器建立连接，并对返回的数据进行检查。

优点：安全性极高。能完全理解应用层协议（如HTTP, FTP），可以检测和阻止应用层攻击，并隐藏内部网络结构。

缺点：处理速度慢，性能开销大，对每种应用都需要一个独立的代理，不够灵活。

## 核心功能

访问控制列表（ACL）：定义允许或拒绝流量的规则集合，是防火墙策略的基石。

网络地址转换（NAT）：将内部网络的私有IP地址转换为公网IP地址，既节省了公网IP资源，又隐藏了内网结构，提供了基础的安全保护。

虚拟专用网络（VPN）：提供安全的远程访问和站点到站点连接，通过加密隧道在公共网络上传输私有数据。

流量监控与日志记录：记录所有通过防火墙的连接尝试（成功和被拒绝的），用于审计、故障排查和事后取证。

带宽管理/QoS：对特定应用或用户的网络带宽进行管理和优先级划分，保证关键业务的流畅运行。

## 部署模式

路由模式：防火墙充当一个三层设备，具有路由功能，不同网段之间的通信需要经过它。这是最常见的部署模式。

透明模式（桥接模式）：防火墙充当一个二层设备，像一根“智能网线”串联在网络中。它不需要改变现有的IP地址规划，对用户完全透明，适用于需要快速部署且不希望改变网络拓扑的场景。

混合模式：同时支持路由模式和透明模式，提供更大的部署灵活性。