防火墻是兩個網(wǎng)絡通信時實施的訪問控制尺度，可以最大限度地防止網(wǎng)絡中的黑客訪問您的網(wǎng)絡。指在不同網(wǎng)絡(如可信內網(wǎng)和不可信公網(wǎng))或網(wǎng)絡安全域之間設置的一系列組件的組合。它是不同網(wǎng)絡或網(wǎng)絡安全域之間唯一的信息出入口，可以根據(jù)企業(yè)的安全策略控制(允許、拒絕、監(jiān)控)進出網(wǎng)絡的信息流，具有很強的抗攻擊能力。

一、防火墻的分類：防火墻按照功能和級別的不同，一般分類這么三類：包過濾型防火墻、狀態(tài)檢測型防火墻、代理型防火墻。

1.包過濾型防火墻：這種防火墻只能實現(xiàn)最基礎的包過濾功能，按照既定的訪問控制列表對數(shù)據(jù)包的三、四層信息進行控制，詳細一點就是：三層信息：源IP地址，目標IP地址。四層信息：源端口，目標端口。這種情況其實用一個路由器或者三層交換機，配置ACL就能實現(xiàn)。只有符合了條件的數(shù)據(jù)包才能被放行，不符合條件的數(shù)據(jù)包無論如何都不會被放行。但是包過濾型防火墻的性質就是那么“教條”與“頑固不化”！

2.狀態(tài)檢測型防火墻：狀態(tài)檢測型防火墻就是為了解決“傻~”的包過濾型防火墻而存在的。它比包過濾型防火墻還多了一層“狀態(tài)檢測”功能。狀態(tài)化檢測型防火墻可以識別出主動流量和被動流量，如果主動流量是被允許的，那么被動流量也是被允許的。例如TCP的三次握手中，第一次流量是主動流量，從內到外，第二次流量就是從外到內的被動流量，這可以被狀態(tài)監(jiān)測型防火墻識別出并且放行。狀態(tài)監(jiān)測型防火墻會有一張“連接表”，里面記錄合法流量的信息。當被動流量彈回時，防火墻就會檢查“連接表”，只要在“連接表”中查到匹配的記錄，就會放行這個流量。

3.代理型防火墻：代理型防火墻一般是一個安裝在多網(wǎng)卡服務器上的軟件，擁有狀態(tài)監(jiān)測的功能，但是多了一項功能就是代理服務器功能。一般有正向代理和反向代理兩種功能：正向代理用于內部主機訪問Internet服務器的時候，特別是Web服務的時候很管用。當內部主機第一次訪問外部的Web服務器時，代理服務器會將訪問后的內容放在自己的“高速緩存”中。當內部主機再次訪問該Web服務器的時候，如果有相同的內容，代理服務器就會將這個訪問定位到自己的高速緩存，從而提升內部主機的訪問速度。反向代理和正向代理有點類似，只不過訪問的方向是外部到內部。當外部主機要訪問內部發(fā)布的某個服務器的時候，不會讓它把訪問目標定位到內部服務器上，而是反向代理設備上。反向代理設備會從真實的服務器上抽取數(shù)據(jù)到自己的緩存中，起到保護真實服務器的功能。

二、加固網(wǎng)絡的安全：防火墻的其中一個功能，就是網(wǎng)絡流量流向的問題（內到外可以訪問，外到內默認不能訪問），這就從一定程度上加強了網(wǎng)絡的安全性，那就是：“內網(wǎng)屬于私有環(huán)境，外人非請莫入！”另外，防火墻還能從另外一些方面來加固內部網(wǎng)絡的安全：

1.會話日志功能：防火墻都有“會話記錄”功能，每一個數(shù)據(jù)包在經(jīng)過防火墻之后，都可以在防火墻的會話表中查詢到歷史訪問記錄。如果是外部主機訪問內部呢？當然，在你的內部網(wǎng)絡遭受不安全以后，可以在防火墻上查到從外到內，到底是哪個IP地址非法闖入了。

2.帶有安全檢測防御：這種功能并不是每一款防火墻都有。安全檢測系統(tǒng)（簡稱“IDS”）是一種對網(wǎng)絡傳輸進行即時監(jiān)視，在發(fā)現(xiàn)可疑傳輸時發(fā)出警報或者采取主動反應措施的網(wǎng)絡安全設備。它與其他網(wǎng)絡安全設備的不同之處便在于，香港服務器租用，IDS是一種積極主動的安全防護技術。

3.隱藏內部的網(wǎng)絡拓撲：這種情況用于互聯(lián)網(wǎng)防火墻。因為內網(wǎng)一般都會使用私有IP地址，而互聯(lián)網(wǎng)是Internet的IP地址。由于在IPv4環(huán)境下IP地址不足，內部使用大量的私有地址，轉換到外部少量的Internet地址，這樣的話，外部網(wǎng)絡就不會了解到內部網(wǎng)絡的路由，也就沒法了解到內部網(wǎng)絡的拓撲了。同時，防火墻上還會使用NAT技術，將內部的服務器映射到外部，所以從外部訪問服務器的時候只能了解到映射后的外部地址，根本不會了解到映射前的內部地址。

三、防火墻并不普適：不是任何場合都適合部署防火墻。誰都知道安全性和方便性有時候會有那么一些沖突。防火墻作為一種網(wǎng)絡安全設備，部署在網(wǎng)絡中會對穿過防火墻的數(shù)據(jù)包進行攔截，然后確定它符合策略要求以后才會放行。這會對網(wǎng)絡傳輸效率造成一定影響。所以防火墻一般用于數(shù)據(jù)中心，大型企業(yè)總部，國有企業(yè)省級、地區(qū)級辦公機構，帶有服務器區(qū)域的網(wǎng)絡環(huán)境或機密性較高的單位。

四、劃分網(wǎng)絡的邊界：防火墻設備的其中一個功能，就是劃分網(wǎng)絡的邊界，嚴格地將網(wǎng)絡分為“外網(wǎng)”和“內網(wǎng)”。“外網(wǎng)”則是防火墻認為的——不安全的網(wǎng)絡，不受信任的網(wǎng)絡；“內網(wǎng)”則是防火墻認為的——安全的網(wǎng)絡，受信任的網(wǎng)絡。

五、防火墻在企業(yè)環(huán)境的應用

1.互聯(lián)網(wǎng)出口設備：這估計是大家最能想到的一種用途吧。因為Internet就是一個最典型的“外網(wǎng)”，當企業(yè)網(wǎng)絡接入Internet的時候，為了保證內部網(wǎng)絡不受來自外部的威脅侵害，就會在互聯(lián)網(wǎng)出口的位置部署防火墻。

2.分支機構接骨干網(wǎng)作邊界設備：在電力行業(yè)、金融行業(yè)等大型跨地，跨省的企業(yè)時，為了企業(yè)中各個省級、地市級單位的內部數(shù)據(jù)通信通常都會自建一張骨干網(wǎng)絡。每個省級、地市級單位辦公網(wǎng)絡接入骨干網(wǎng)時，就可以在網(wǎng)絡接入點部署防火墻，虛擬主機，進一步提高每個單位的辦公網(wǎng)絡安全性。

3.數(shù)據(jù)中心內保護服務器：數(shù)據(jù)中心是為企業(yè)存放重要數(shù)據(jù)資料的，同時數(shù)據(jù)中心內會放置各種各樣功能不一的服務器。想要保證數(shù)據(jù)的安全，首先就要保證這些服務器的安全。物理上的安全嘛，你就防火防水防賊唄，應用上的安全，找殺毒軟件嘛；但是在網(wǎng)絡上防止，防止非授權人員操作服務器，就需要到防火墻來發(fā)揮作用了。一般在傳統(tǒng)的數(shù)據(jù)中心內，會根據(jù)不同的功能來決定服務器的分區(qū)，然后在每個分區(qū)和核心設備的連接處部署防火墻。百度云加速買一送一(優(yōu)惠來源mfisp.com)，租用或托管服務器可咨詢夢飛云idc了解。