防火墻主要功能

伴隨著互聯網的不斷發展，網絡安全正面臨著前所未有的威脅和挑戰，防火墻作為網絡安全中的重要設備，通過其豐富的安全功能來保護網絡免受各類安全攻擊。本文就防火墻的基礎功能和高級功能進行簡單的介紹。

#安全

發布時間：2022-11-09
點擊量：
點贊：

分享至

我想評論

1 防火墻概述

在介紹防火墻功能之前，先簡單介紹下防火墻一詞的前世今生。防火墻一詞源于一種古代的消防建筑。在古代，由于房屋通常是木質結構，一旦失火極易蔓延，造成大量生命財產損失。為了在火災時隔斷火勢的傳播，人們把結實的石塊疊起來，圍繞著房子筑起了一堵墻，以此為屏障，這種防護構筑物稱為防火墻。時至今日，防火墻一詞被引入通信領域中。因為在網絡（內部網絡）與網絡（外部網絡）之間存在著安全入侵和威脅，所以人們也需要在網絡之間設置一道防火墻。

在網絡領域中，防火墻可以是由獨立的硬件與軟件組合而成的硬件防火墻，也可以是嵌入到其他設備系統的軟件防火墻。其本質是將內部網絡與外部網絡隔離開來的一道防御系統，它會對流經防火墻的數據進行安全審查，只有經過防火墻授權的數據才被允許訪問內部網絡，從而保護內部網絡免受非法用戶的攻擊和入侵。如今，防火墻已然成為保護網絡數據安全不可或缺的一種手段。

圖1-1 防火墻數據訪問示意圖

2 防火墻主要功能

當面臨大量的網絡攻擊時，防火墻能夠作為網絡安全防護的第一道屏障，不被非法獲取或破壞，依靠的是豐富的安全功能。由于不同安全廠商間的防火墻產品在支持的功能上有所差異，因此，本文僅介紹一些通用的防火墻功能，包括基礎的防火墻功能和高級功能。

2.1 基礎防火墻功能

本節將介紹如下基礎防火墻功能：

●訪問控制

●NAT

●日志記錄與監控

2.1.1 訪問控制

訪問控制是防火墻常見的功能，它主要通過包過濾來實現。包過濾將檢查轉發報文的報文頭信息，包括源IP地址、目的IP地址、源端口號、目的端口號及協議類型（即五元組）。當用戶在防火墻設置了過濾規則后，會在防火墻中形成一個過濾規則表，規則匹配的動作是允許（Permit）或拒絕（Deny）。報文進入防火墻時，防火墻會根據報文的頭部信息與過濾規則表進行逐條比對，根據對比的結果來決定是否允許數據包通過。圖中IP報文2未能匹配過濾規則2被拒絕通過，而IP報文1和3符合匹配規則被放行通過。

圖2-1 包過濾訪問控制示意圖

2.1.2 NAT

NAT（Network Address Translation，網絡地址轉換）是指將一個IP地址轉換為另一個IP地址的過程，主要用于實現內部網絡訪問外部網絡的功能。由于防火墻大多部署在企業網絡的邊界出口，用于與外部的Internet網絡隔離，內部用戶想要訪問互聯網通常需要借助防火墻的NAT功能。不同的NAT適用于不同場景，這里僅介紹最常用的源NAT地址轉換。源NAT主要是對IP報文的源地址進行轉換，將用戶的私網IP地址轉換為公網IP地址，這樣能使眾多的私網用戶利用少量的公網地址即可訪問Internet，有助于減緩可用IP地址空間的枯竭。

圖2-2 源NAT轉換示意圖

2.1.3 日志記錄

當報文到達防火墻時，防火墻會掃描報文并根據配置的防火墻策略執行動作，這些動作包括允許或拒絕報文通過。防火墻此時會將事件記錄在日志當中，這些日志在監控內部網絡與Internet之間的流量信息、識別非法的訪問連接等流量審計活動中能夠發揮重要作用。防火墻通常支持本地保存日志，或是將日志保存在內網專門存放日志的服務器里。

圖2-3 防火墻日志記錄示意圖

2.2 高級防火墻功能

本節將介紹如下高級防火墻功能：

●IPSec/SSL VPN

●安全攻擊防范

●雙機熱備功能

2.2.1 IPSec/SSL VPN

防火墻支持多種VPN（Virtual Private Network，虛擬專用網絡）的接入，并支持用IPSec（IP Security，IP安全）和SSL（Secure Socket Layer，安全套接層）來加密數據。IPSec通常被應用在站點到站點之間VPN數據加密，如總部的內部主機和和分公司主機存在通信需求時，此時分公司設備可和總部的防火墻建立IPSec VPN連接以接入總部內部主機。而SSL VPN更多地應用在企業用戶的移動遠程辦公接入中，移動辦公人員通過SSL VPN連接來接入總部辦公系統，郵件系統等。

圖2-4 防火墻IPSec VPN接入示意圖

2.2.2 安全攻擊防范

防火墻的安全攻擊防范主要是對應用層的業務實施保護，以避免報文受到安全侵害。安全攻擊防范主要可以分為三種類型：

●病毒防護：防火墻一般有內置防病毒庫，對木馬病毒、蠕蟲病毒等常見病毒文件進行檢測，使得攜帶病毒的報文無法接入內部網絡。

●入侵防御：防火墻入侵防御功能通過預先定義的防御規則，對進入防火墻的報文會與入侵防御特征庫相匹配，以此來抵御常見的攻擊行為。

●拒絕服務攻擊（DoS，Denial of Service）通過未完成的TCP/IP請求連接大量占用主機會話資源使主機最終崩潰，而防火墻會針對這些不正常的TCP/IP連接進行監控，并設定連接數閾值，一旦接入連接數超過該閾值就會關閉它們，從而抵御外部DoS的攻擊。

2.2.3 雙機熱備

由于防火墻多部署于企業網絡的出口，內外網之間的業務都要通過防火墻進行轉發。若防火墻出現宕機將造成業務中斷，因此，防火墻的可靠性就顯得格外重要。為了更好地應對單機設備運行的風險，防火墻通過使用雙機熱備技術實現冗余功能，類似于虛擬路由冗余協議（VRRP，Virtual Router Redundancy Protocol），當局域網內承擔路由轉發功能的設備失效后，另一臺將自動接管，從而實現IP路由的熱備份與容錯。雙機熱備技術可以將一組防火墻虛擬成一臺防火墻。其中，僅有一臺防火墻可以處于活動，稱為主設備（Active），其余稱為備設備（Backup）。防火墻可通過此技術實現將配置和會話表（協議的連接狀態表）信息的同步，若主防火墻發生故障，備防火墻可以平滑的接替，保障網絡的穩定運行。

圖2-5 防火墻主備切換示意圖