什么是防火墙？定义和解释

防火墙 - 含义和定义

防火墙是一种计算机网络安全系统，可限制进出专用网络或专用网络内的互联网流量。

此类软件防火墙或专用的软硬件防火墙的主要功能是选择性地阻止或允许数据包。防火墙通常用于帮助阻止恶意活动并防止专用网络内外的任何人进行未经授权的 Web 活动。

什么是防火墙？

防火墙可以被视为门控边界或网关，用于管理被允许和被禁止的 Web 活动在专用网络中的传播。该术语源于物理墙的概念，即在紧急救援人员将其扑灭之前用于减缓火势蔓延的屏障。而网络安全领域的防火墙用于 Web 流量管理，通常旨在减缓 Web 威胁的传播。

防火墙创建“阻塞点”来限制输送 Web 流量，然后根据一组编程参数对这些流量进行审查并据此采取相应的行动。有些防火墙还在审计日志中跟踪流量和连接，以便用户了解被允许或被阻止的内容。

防火墙通常用于在专用网络或其主机设备的边界设置门控。因此，防火墙属于更广泛的用户访问控制类的一种安全工具。这些屏障通常设置在两个位置上——网络上的专用计算机（即用户计算机）和其他端点本身（主机）。

防火墙的工作原理

防火墙会判定允许哪些网络流量通过以及哪些流量存在危险。从本质上看，其工作原理是过滤掉异常或不受信任的流量，允许正常或受信任的流量通过。但是在我们深入探讨之前，先了解一下基于 Web 的网络结构。

防火墙旨在保护专用网络和其中的端点设备，称为网络主机。网络主机是与网络上的其他主机“对话”的设备。它们负责内部网络之间的数据收发，以及数据在外部网络之间的出站和进站。

计算机和其他端点设备使用网络来访问互联网和相互访问。然而出于安全和隐私的考虑，互联网被分割成子网。基本子网段如下：

1. 外部公共网络通常是指公共/全球互联网或各种外部网。
2. 内部专用网络定义为家庭网络、公司内部网和其他“封闭”网络。
3. 边界网络由堡垒主机组成，堡垒主机是安全性经过强化的计算机主机，可以有效抵御外部攻击。作为内部网络和外部网络之间的安全缓冲区，边界网络也可用于容纳内部网络提供的任何面向外部的服务（即用于 Web、邮件、FTP、VoIP 等的服务器）。这些边界网络的安全性高于外部网络，但不及内部网络。它们不只是用于家庭网络等较简单网络，也可能经常用于组织或国家内部网。

屏蔽路由器是放置在网络上以对其进行分段的专用网关计算机。它们被称为网络级别防火墙。两种最常见的分段模型是屏蔽主机防火墙和屏蔽子网防火墙：

• 屏蔽主机防火墙在外部网络和内部网络之间使用单个屏蔽路由器。这些网络是该模型的两个子网。
• 屏蔽子网防火墙使用两个屏蔽路由器——一个称为外部网络和边界网络之间的接入路由器，另一个称为边界网络和内部网络之间的阻塞路由器。这会分别创建出三个子网。

网络边界和主机本身都可以容纳防火墙。为此，防火墙被置于单台计算机及其与专用网络的连接之间。

• 网络防火墙涉及在外部网络和内部专用网络之间应用一个或多个防火墙。这些防火墙会调节进站和出站网络流量，将外部公共网络（如全球互联网）与内部网络（如家庭 Wi-Fi 网络、企业内部网或国家内部网）分隔开。网络防火墙可能是下列任何类型的设备形式：专用硬件、软件和虚拟设备。
• 主机防火墙（即“软件防火墙”）涉及在单个用户设备和其他专用网络端点上使用防火墙作为网络内设备之间的屏障。这些设备/主机会接收进出特定计算机应用的自定义调节流量。主机防火墙可以作为操作系统服务或端点安全应用在本地设备上运行。主机防火墙还可以更深入地分析 Web 流量，基于 HTTP 和其他网络协议进行过滤，对到达机器的内容进行管理，而不仅仅是监控这些流量来自哪里。

网络防火墙需要针对广泛的连接进行配置，而主机防火墙可以根据每台机器的需要进行定制。然而，主机防火墙需要进行更多的自定义操作，这意味着基于网络的防火墙是全面控制解决方案的理想之选。但同时在两个位置使用两个防火墙对于构建多层安全系统来说是理想之选。

通过防火墙过滤流量的方法利用预先设置或动态学习的规则来允许和拒绝尝试建立的连接。这些规则定义了防火墙如何调节通过专用网络和专用计算机设备的 Web 流量。任何类型的防火墙都可以通过下列各项的组合进行过滤：

• 源：尝试建立的连接来自哪里。
• 目标：尝试建立的连接到哪里。
• 内容：尝试建立的连接想要发送的内容。
• 数据包协议：尝试建立的连接正在使用什么“语言”来传输消息。在主机用来相互“对话”的网络协议中，TCP/IP 协议主要用于在互联网中以及内部网/子网络内进行通信。
• 应用协议：常用协议包括 HTTP、Telnet、FTP、DNS 和 SSH。

源和目标通过互联网协议 (IP) 地址和端口进行通信。IP 地址 是每个主机的唯一设备名称。端口是任何给定源和目标主机设备的子级，类似于较大建筑内的办公室。端口通常被指定特定用途，因此可以注意使用不常见端口或禁用端口的某些协议和 IP 地址。

通过使用这些标识符，防火墙可以决定是丢弃尝试连接的数据包（静默丢弃或者将错误返回给发送者）还是进行转发。

防火墙类型

不同类型的防火墙采用不同的过滤方法。虽然每种类型的防火墙都是为了超越前几代防火墙而开发，但大部分核心技术仍会沿用。

不同类型防火墙的区别在于它们执行下列操作的方式：

1. 连接跟踪
2. 过滤规则
3. 审核日志

每种类型的防火墙都在标准化通信模型的不同级别运行，该模型称为开放系统互连模型 (OSI)。https://www.networkworld.com/article/3239677/the-osi-model-explained-and-how-to-easily-remember-its-7-layers.html该模型可以更好地显示出每个防火墙如何与连接进行交互。

静态包过滤防火墙

静态包过滤防火墙，又称无状态检测防火墙，在 OSI 网络层（第 3 层）运行。这类防火墙会检查通过网络发送的各个数据包，根据它们的源位置和目标位置来进行基础过滤。要注意的是，之前已接受的连接不会被跟踪。这意味着每发送一个数据包都必须重新批准每个连接。

防火墙根据 IP 地址、端口和数据包协议进行过滤。这类防火墙至少可以防止两个网络在未经许可的情况下直接连接。

过滤规则根据手动创建的接入控制列表来设置。这些规则非常严格，很难在不影响网络可用性的情况下正确过滤掉未授权的流量。静态过滤需要持续手动修改才能有效使用。这类防火墙在小型网络上是可以管理的，但在大型网络上比较难以操作。

无法读取应用协议意味着无法读取数据包中传递的消息内容。如果无法读取内容，包过滤防火墙能提供的保护质量就会受限。

电路级网关防火墙

电路级网关在会话层（第 5 层）上运行。这类防火墙会检查尝试建立的连接中的功能数据包，如果运行良好，则允许两个网络之间保持持久的开放连接。之后，防火墙将停止监视此连接。

除了连接方法之外，电路级网关也类似于代理防火墙。

连接持续不受监控是比较危险的，因为可以通过合法的手段打开连接，之后恶意行为者可以无阻碍进入。

状态检测防火墙

状态检测防火墙，又称动态包过滤防火墙，与静态过滤防火墙相比，这类防火墙的独特之处在于能够监控持续的连接并记录历史连接。这类防火墙最初是在传输层（第 4 层）上运行的，但现在可以监控许多层，包括应用层（第 7 层）。

与静态过滤防火墙一样，状态检测防火墙根据技术属性（例如特定的数据包协议、IP 地址或端口）允许或阻止流量。不过，这些防火墙还利用状态表，根据连接状态进行独特的跟踪和过滤。

这类防火墙根据屏蔽路由器在状态表中记录的历史连接事件来更新过滤规则。

一般情况下，过滤决策基于管理员在设置计算机和防火墙时确定的规则。不过，状态表允许这些动态防火墙根据之前“学习”到的交互做出自己的决定。例如，过去导致过中断的流量类型可能会在将来被过滤掉。状态检测的灵活性使这类防火墙成为使用最广泛的保护屏障类型之一。

代理防火墙

代理防火墙，又称应用层防火墙（第 7 层），具备独特的应用协议读取和过滤功能。这类防火墙将应用层检测（又称“深度包检测”(DPI)）和状态检测融合在一起。

代理防火墙会尽最大可能接近实际的物理屏障。与其他类型的防火墙不同，它充当外部网络和内部主机计算机之间的两台附加主机，其中一台作为每个网络的代表（又称“代理”）。

过滤基于应用层数据，而不仅仅是基于数据包的防火墙采用的 IP 地址、端口和基本数据包协议（UDP、ICMP）。读取并理解 FTP、HTTP、DNS 和其他协议可以对许多不同的数据特征进行更深入的调查和交叉过滤。

它类似于站在门口的守卫，主要负责监视和评估传入的数据。如果未检测到问题，则允许将数据传递给用户。

这种严密安全防护的缺点在于，它有时会干扰那些并不存在威胁的传入数据，因而导致功能延迟。

新一代防火墙 (NGFW)

不断演变的威胁越来越需要更强大的解决方案，而新一代防火墙可以将传统防火墙的功能与网络入侵防御系统结合在一起，从而解决这些问题。

针对特定威胁的新一代防火墙可以更精细地检查和识别特定威胁，例如高级恶意软件。它们更多地用于企业和复杂网络，可提供全面的解决方案来过滤威胁。

混合型防火墙

顾名思义，混合型防火墙在单个专用网络中使用两种或多种防火墙。

谁发明了防火墙？

应该说人类在发明防火墙的道路上从未停下脚步。因为防火墙一直在不断发展，很多创造者参与了它的开发和演变。

从 20 世纪 80 年代后期到 90 年代中期，各位创造者不断扩展各种与防火墙相关的组件和版本，逐渐形成一种产品，为打造所有现代防火墙奠定了基础。

Brian Reid、Paul Vixie 和 Jeff Mogul

20 世纪 80 年代后期，Mogul、Reid 和 Vixie 均在 Digital Equipment Corp (DEC) 公司从事包过滤技术开发工作，这项技术在未来的防火墙中扮演了重要角色。在外部连接与内部网络上的计算机进行通信之前对这些连接进行审查的概念也由此诞生。虽然有些人可能将这种包过滤视为第一款防火墙，但它更像是支持真正防火墙系统的组件技术。

David Presotto、Janardan Sharma、Kshitiji Nigam、William Cheswick 和 Steven Bellovin

80 年代末到 90 年代初，AT&T 贝尔实验室的多位工作人员研究并开发出电路级网关防火墙的早期概念。这是第一款审查并允许持续连接的防火墙，而不是在接收到每个数据包后反复重新授权。1989 年到 1990 年期间，Presotto、Sharma 和 Nigam 开发了电路级网关，随后 Cheswick 和 Bellovin 在 1991 年开发了防火墙技术。

Marcus Ranum

在 1991 年到 1992 年期间，就职于 DEC 的 Ranum 发明了安全代理，这也是第一款应用层防火墙产品（即 1991 年问世的 Secure External Access Link (SEAL) 代理防火墙）的重要组件。它基于 Reid、Vixie 和 Mogul 在 DEC 所取得的成果进行了扩展，是第一款走向商业化的防火墙产品。

Gil Shwed 和 Nir Zuk

在 1993 年到 1994 年期间，Check Point 公司创始人 Gil Shwed 和出色的开发人员 Nir Zuk 在开发第一款被广泛采用的用户友好型防火墙产品 Firewall-1 中发挥了重要作用。1993 年，Gil Shwed 发明了状态检测技术并申请了美国专利。随后，Nir Zuk 为 1994 年问世的 Firewall-1 开发了易于使用的图形界面，而在可预见的未来，这项技术直接推动防火墙走进企业和千家万户。

这些发展对于塑造现今的防火墙产品至关重要，其中每一项技术都在不同程度上应用于众多网络安全解决方案。

防火墙的重要性

防火墙的作用是什么，重要性又体现在哪里？没有保护措施的网络很容易受到任何尝试接入您系统的流量的影响。无论这些网络流量是否存在危害，都应当始终对其进行审查。

将个人计算机连接到其他 IT 系统或互联网会带来很多好处，包括方便与他人协作、整合资源和提升创造力。但这同时会对网络的完整性和设备的防护能力造成不利影响。当用户将自己的计算机连接到网络或互联网时，可能会暴露在威胁之下，最常见的威胁包括黑客攻击、身份盗窃、恶意软件和网络欺诈。

一旦被恶意行为者发现，您的网络和设备就很容易被找到、快速接入并遭受反复出现的威胁。始终保持联网状态会增加这种风险（因为您的网络随时可以访问）。

无论使用何种类型的网络，主动式保护至关重要。用户可以使用防火墙来帮助他们的网络抵御最严重的威胁。

防火墙安全技术有什么作用？

防火墙有什么作用，可以抵御哪些威胁？网络安全防火墙的理念就是将网络攻击面缩小到单点接触。网络上并非每台主机都直接接入大范围的互联网，而是所有流量都必须首先接触防火墙。反之亦然，防火墙可以过滤和阻止未经允许的流量进出。此外，防火墙用于对尝试建立的网络连接进行审核跟踪，以提高安全意识。

专用网络所有者建立的一套规则可用作流量过滤，从而为防火墙创建了自定义用例。常见用例涉及管理以下内容：

• 来自恶意行为者的渗透：可以阻止来自行为异常来源的不良连接。这可以防止窃听和高级持续威胁 (APT)。
• 家长控制：家长可以阻止儿童查看不当 Web 内容。
• 工作场所 Web 浏览限制：雇主可以阻止员工使用公司网络访问某些服务和内容，例如社交媒体。
• 国家控制的内部网：国家政府可以阻止国内居民访问可能对国家领导层或国家价值观持不同政见的 Web 内容和服务。

但是，防火墙在以下方面存在不足：

1. 识别合法网络进程的漏洞：防火墙无法预测人类意图，因此不能确定“合法”连接是否存在恶意企图。例如，IP 地址欺诈（IP 伪造）的发生是因为防火墙无法验证源 IP 和目标 IP。
2. 阻止绕过防火墙的连接：仅靠网络层防火墙无法阻止恶意的内部活动。除了边界防火墙之外，还需要使用内部防火墙（例如基于主机的防火墙）才能对网络进行分区并减缓内部“火灾”的蔓延。
3. 充分防范恶意软件：虽然可以让携带恶意代码的连接中断（如果这类连接被阻止），但被视为可接受的连接仍然可以将这些威胁传递到您的网络中。如果防火墙由于配置不当或存在漏洞而忽略了某个连接，仍需要反病毒保护套件来清除任何进入网络的恶意软件。

防火墙示例

在实际应用中，人们对防火墙褒贬不一。虽然长久以来，防火墙的作用是有目共睹的，但这类安全工具必须正确实施才能避免漏洞。此外，众所周知，防火墙的使用方式存在道德方面的问题。

中国的“防火长城”，严格的网络审查制度

自 2000 年前后，中国已经制定了内部防火墙框架，以建立严格监控的内部网。从本质上讲，防火墙允许在国家内建立自定义版本的全球互联网。这可以通过阻止在国家内部网中使用或访问部分服务和信息来实现。

这种国家监督和审查制度虽然能够维护政府形象，但会持续限制言论自由。此外，中国的防火墙允许政府仅为本地公司提供互联网服务。这样便于管理对搜索引擎和电子邮件服务的控制，有利于政府达成目标。

对于这种审查制度，中国内部一直存在反对的声音。很多人通过虚拟专用网络和代理来越过国家防火墙，以此表达不满情绪。

疫情期间，美国联邦机构因远程办公存在安全漏洞而受到攻击

2020 年，美国的一家联邦机构遭遇数据泄露，而防火墙配置不当是导致此次事件的众多安全漏洞之一。

据称，某个由国家机构支持的攻击者利用了这家美国机构网络安全系统的诸多漏洞。在许多涉及网络安全的问题中，该机构当时使用的防火墙有多个出站端口不恰当地向流量开放。除了维护不善之外，该机构的网络可能还面临远程办公带来的新挑战。一旦进入网络，攻击者的行为方式就表现出通过任何其他开放路径侵入其他机构的明显意图。这种行为不仅使被渗透的机构面临安全漏洞带来的风险，也导致众多其他机构暴露在同样的危险之中。

美国电网运营商未安装补丁的防火墙被攻破

2019 年，一家美国电网运营商受到黑客的拒绝服务 (DoS) 攻击。边界网络上的防火墙因漏洞反复重启，持续了大约十个小时。

后经分析发现是防火墙中已知但未安装补丁的固件漏洞造成的。在实施之前检查更新的标准操作程序没有落实到位，导致更新延迟，安全问题也随之出现。幸运的是，这个安全问题并没有导致网络被严重渗透。

这些事件突显出定期更新软件的重要性。如果不更新软件，防火墙就会成为另一个网络安全系统漏洞。

如何利用防火墙加强防护

正确设置和维护防火墙对于保护网络和设备的安全至关重要。以下是指导您借助防火墙加强网络安全的一些建议：

1. 及时更新防火墙：安装固件和软件补丁，让防火墙保持最新状态，有效抵御任何新发现的漏洞。个人和家庭防火墙用户通常可以安全地迅速完成更新。大型组织可能需要首先检查其网络的配置和兼容性。但每个人都应该制定适当的流程来及时更新。
2. 利用反病毒保护：防火墙本身并不能阻止恶意软件和其他感染。这些威胁可能会通过防火墙的保护屏障，因此您需要一个能够禁用和删除它们的安全解决方案。Kaspersky Total Security 可以在您的个人设备上筑起安全防线，我们还有多款企业安全解决方案为您的网络主机提供安全无虞的保障。
3. 利用允许列表限制可访问的端口和主机：默认为进站流量连接拒绝。将进站和出站连接严格限制为受信任的 IP 地址白名单。将用户接入权限控制在必要服务内。在需要时启用接入相比在事件发生后修复和减轻损害，更容易确保安全。
4. 分段网络：恶意行为者的横向移动显然是一种威胁，可以通过限制内部交叉通信来减缓这种移动。
5. 确保可用的网络冗余以避免停机：网络主机和其他重要系统的数据备份可以防止安全事件导致数据丢失和生产效率下降。

Kaspersky Endpoint Security 在 2021 年凭借在企业端点安全产品方面表现出的卓越性能、保护能力和可用性，一举拿下三大 AV-TEST 奖项。在所有测试中，该解决方案都展示出一流的性能、保护能力和可用性，能够为企业提供强大保护。

相关链接：

• 垃圾邮件和网络钓鱼
• 您为何需要备份文件
• 如何删除计算机中的病毒或恶意软件
• 什么是恶意代码？