路由器與交換機的本質是轉發，防火墻的本質是控制和防護。

防火墻的工作原理是通過設置安全策略，來進行安全防護。

定義——防火墻是部署在網絡出口處/服務器區(數據中心）/廣域網接入，用于防止外界黑客攻擊/保護內部網絡安全性的安全硬件。

一、傳統防火墻：------工作于 應用層以下

傳統防火墻的類型

1.包過濾（包過濾防火墻）

工作層次——3/4層（七層模型）

工作原理——手工，類似ACL控制數據包，五元組，實現單向訪問

優點——①僅處理3/4層，簡單快捷。

缺點——①ACL多且復雜，手工配置，不能隨需求自動修改；

②不能識別通信狀態進行控制；

③不能防范應用層攻擊；

④是默認策略，沒有明顯允許就是禁止。

2.狀態檢測技術（狀態防火墻）

工作層次——3/4/5層

工作原理——維持會話表通信狀態。會話表包括五個元素（源目的IP，源目的端口，協議號）

優點——①可以識別會話狀態控制通信；

②能動態生成放通回程報文的策略。

缺點——不能防范應用層攻擊、應用data不能檢測、對FTP等多連接應用兼容性差。

3.應用代理技術ALG（應用代理防火墻）

工作層次——3/4/5/7層

工作原理——應用數據data檢查:動態協商的端口、URL、 ftp操作指令、http請 求方法等,允許動態通道(端口都是隨機動態協商的,如FTP )的數據進入防火墻。

優點——可以檢測應用層數據,防范簡單的應用層攻擊；

缺點——軟件處理,消耗資源。

傳統防火墻的工作模式

透明/網橋模式——防火墻相當于二層交換機，無需配置IP地址；

路由模式——防火墻具有三層功能，需要配置IP地址，可以做NAT；

混合模式——根據需求，可以同時以透明模式和路由模式工作。

二、下一代防火墻-------工作于L2-7層

下一代防火墻的功能：

包括傳統防火墻的基本防護功能（包過濾、狀態檢測、應用代理）

增強應用識別與控制（深度內容識別，即DPI技術）:將數據中的應用層特征與本地的應用特征庫進行匹配（應用特征庫會定期更新）

web攻擊防護:將數據中的URL地址與本地的URL庫進行匹配（URL庫會定期更新）

信息泄露防護

惡意代碼防護：將數據的特征與本地的病毒庫進行匹配（病毒庫會定期更新）

入侵防御：將數據流的特征與本地的IPS入侵檢測庫進行匹配（IPS入侵檢測庫會定期更新）

下一代防火墻的工作模式：

透明/網橋模式

路由模式

混合模式

旁路模式——通過數據鏡像，僅對流量進行統計、掃描或者記錄，并不對流量進行轉發。

審核編輯：劉清