什么是防火墙?防火墙是一种机制用于控制和监视网络流量来来去去,目的是保护网络上的设备。信息的流动与预定义的安全标准或政策,抛弃不满足要求的政策信息。事实上,它是一个过滤器,防止不必要的网络流量,限制了保护网络与其他网络之间的通信的数量和类型。

包过滤防火墙的优点:低成本和更少的影响了网络的性能,因为只有检查数据包的IP地址和端口号。这种方法有时被称为静态过滤。通常直接部署在第3层交换机或路由器,而不是一个专门的“防火墙”。

国家这是一个更复杂的防火墙,防火墙通过包,与智能跟踪和理解它们之间的关系。因为受到历史和当前状态的连接,它只 能接收数据包的“期望”。由于防火墙是聪明,所以有条件开发有状态的防火墙规则集。这种类型的防火墙提供了一个高水平的安全,性能,和最终用户的透明度,但价格更贵。

有些代理防火墙，支持配置内部客户端自动执行这种重定向，且不用用户知道。有些人可能会要求用户直接连接代理服务器，然后通过指定的格式发起连接。 代理防火墙提供了一些重要的安保特性，例如防火墙可以识别和控制有些应用协议。它可以对应用协议使用访问控制列表，在要求用户或系统授权访问之前提供额外的验证。

相比之下，过滤路由器要么阻止所有的HTTP数据，要么不阻止，而不是阻止一个子集。 这种类型的防火墙可以提供一个高水平的安保，但也明显影响了网络性能。此外，大部分应用代理防火墙产品只支持几种常见的因特网协议，如HTTP、FTP或简单邮件传输协议(SMTP)。其结果是，对含有工业应用层协议的报文，如公共工业协议®(CIP)或Modbus / TCP®，需要在防火墙状态或包过滤模式中增加对工业应用层协议的数据处理。比起传统的应用代理，它通常提供更深入的应用层过滤，但不执行完整的TCP连接代理。

其他防火墙服务除了数据包过滤的核心服务，现代的防火墙还提供其他基于网络的安保服务。这些服务可能包括: 执行像入侵检测系统(IDS)的功能，可以记录被拒绝访问的数据包，识别专门导致网络问题的数据包，或报告异常的信息。这些额外的服务将依赖于购买的防火墙的品牌和型号。显然，这些附加功能可能意味着额外的成本，增加了配置的复杂性并降低了网络的性能。然而，利用了这些功能， 往往能显着提高IACN / SCADA网络的整体安保性能。

作为弱电行业的人员来说，其实对防火墙不必了解的太清楚，只需要了解它的作用与功能就行，然后在实际应该中看是否需要使用。

    1、什么是防火墙？  

我们知道，原是指古代人们房屋之间修建的那道墙，这道墙可以防止火灾发生的时候蔓延到别的房屋。

而这里所说的防火墙当然不是指物理上的防火墙，而是指隔离在本地网络与外界网络之间的一道防御系统，其实原理是一样的，也就是防止灾难扩散。

应该说，在互联网上防火墙是一种非常有效的网络安全模型，通过它可以隔离风险区域(即Internet或有一定风险的网络)与安全区域(局域网)的连接，同时不会妨碍人们对风险区域的访问。所以它一般连接在核心交换机与外网之间。

如下图，它的连接就可以看出，它基本上在内部网络与外网之间，起到一个把关的作用。

    2、防火墙的工作原理？  

防火墙可以监控进出网络的通信量，从而完成看似不可能的任务，仅让安全、核准了的信息进入，同时又抵制对企业构成威胁的数据，

说白了，它就像一个守城队，这个城处于紧张状态，只能让外界的良民进城，对城里的坏人进行盘点，不放走一个坏人。

随着安全性问题上的失误和缺陷越来越普遍，对网络的入侵不仅来自高超的攻击手段，也有可能来自配置上的低级错误或不合适的口令选择。

还来说城，

入城盘点：入侵者想要进入一座城，它有多种方式，打扮成各种方式入城，例如，假口令、假令牌，伪装等。所以守城队是防上这种可疑的人员入城的，另外对于城内百姓，也是禁止百姓靠近城内的主要防御设施。

出城监视：同时为了更好保护城内百姓，守城队当然还需要打探城外的动向，了解到那些地方安全，那些地方有危险，然后规定普通百姓想要出城，有一些地方能去，有些地方有危险不能去。

因此，防火墙的作用是防止不希望的、未授权的通信进出被保护的网络，迫使单位强化自己的网络安全政策。一般的防火墙都可以达到以下目的：

一是：可以限制他人进入内部网络，过滤掉不安全服务和非法用户；

二是：防止入侵者接近你的防御设施；

三是：限定用户访问特殊站点。

四是：为监视Internet安全提供方便。

    3.防火墙的架构与工作方式？  

防火墙可以使用户的网络划规划更加清晰明了，全面防止跨越权限的数据访问，如果没有防火墙的话，你可能会接到许许多多类似的报告，比如单位内部的财政报告刚刚被数万个Email邮件炸烂。

一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。

1、屏蔽路由器：

是一个多端口的IP路由器，它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息，例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项，对IP包进行过滤。

这里面举个例子：

一堆人来到一个快要开盘楼盘售楼部买房，售楼小姐先需要对你们进行大概的登记和了解，你是否有正规工作，是否是本市户口，是否能正常贷款，首付多少、、、,当进行这一系列的问题后，售楼小姐会对来买房的人员进行一个过滤。

2、代理服务器：

是防火墙中的一个服务器进程，它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关，网关我们前天讲到过，它就是一个关口。

一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用，比如Telnet或者FTP，同代理服务器打交道，代理服务器要求用户提供其要访问的远程主机名。

当用户答复并提供了正确的用户身份及认证信息后，代理服务器连通远程主机，为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。

还来讲买房：

当你已经符合买房的条件了，你要买到房，关键的环节就是贷款，这时售楼顾问就是网关，你提供完整的贷款资料（工资证明，收入明细等）给售楼顾问，售楼顾问会审核下，各条件都符合了，没有问题的话，他就提交给银行，贷款批下来了，房子就可以顺利的买到了。

    4.防火墙的功能？  

局域网内部，不连接互联网外网的一般是不需要防火墙，监控单独一个网络的时候才需要，一般都接在局域网内，通过路由器处的防火墙，而大型网络连接外网的，是需要防火墙的。

一、为什么使用防火墙

防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。

二、防火墙的五大基础的作用：

1.过滤进出网络的数据

2.管理进出访问网络的行为

3.封堵某些禁止业务

4.记录通过防火墙信息内容和活动

5.对网络攻击检测和告警