什么是防火墙？防火墙基础知识讲解

什么是防火墙

防火墙也被称为防护墙，它是一种位于内部网络与外部网络之间的网络安全系统，可以将内部网络和外部网络隔离。通常，防火墙可以保护内部/私有局域网免受外部攻击，并防止重要数据泄露。在没有防火墙的情况下，路由器会在内部网络和外部网络之间盲目传递流量且没有过滤机制，而防火墙不仅能够监控流量，还能够阻止未经授权的流量。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。

除了将内部局域网与外部Internet隔离之外，防火墙还可以将局域网中的普通数据和重要数据进行分离，所以也可以避免内部入侵。

                                                                          防火墙的工作原理

防火墙有硬件防火墙和软件防火墙这两种类型，硬件防火墙允许您通过端口的传输控制协议（TCP）或用户数据报协议（UDP）来定义阻塞规则，例如禁止不必要的端口和IP地址的访问。软件防火墙就像互连内部网络和外部网络的代理服务器，它可以让内部网络不直接与外部网络进行通信，但是很多企业和数据中心会将这两种类型的防火墙进行组合，主要是因为这样做可以更加有效地提升网络的安全性。

                                                                           硬件防火墙如何选择

一、网络吞吐量

因为防火墙是通过对进入与出去的数据进行过滤来识别是否符合安全策略的，所以在流量比较高时，要求防火墙能以最快的速度及时对所有数据包进行检测。否则就可能造成比较长的延时，甚至发生死机。所以网络吞吐量指标非常重要，它体现了防火墙的可用性能，也体现了企业用户使用防火墙产品的延时代价。如果防火墙对网络造成较大的延时，给用户造成较大的损失。

选购防火墙的时候第一个要看的指标就是防火墙的吞吐量。当然，这个吞吐量也不是越大越好。因为吞吐量越大的话，防火墙的价格也就越高。要根据企业的实际情况，如现在接入互联网的带宽等因素，来选择的合适的带宽。

二、协议的优先级

现在视频应用在企业中使用是越来越广泛。如视频会议系统、语音电话等等在企业中都很普及。而这些应用都会占用企业比较大的带宽。如果企业带宽跟不上的话，这些应用的质量将会受到很大的影响，如通话的质量可能会时断时续。就好像手机信号差一样。虽然可以通过提高互联网的接入速度来改善这种情况，但是这不是首选方案。因为增加带宽需要企业花费比较大的投资。故最理想的解决方案是对企业的通信流量进行管理。通过防火墙把一些关键应用的流量设置为比较高的优先级。在网络传输中，要首先保障这些通信流量能够优先通过。这就可以明显改善语音通话等视频应用的效果。

三、具有一定的扩展性

企业的网络不可能永远的一成不变。随着企业规模的扩大，公司内部的网络会不断的升级，以符合企业日益发展的需要。那么如何考虑呢？

一是为了后续扩展的需要，最好能够购买那些模块化设计的防火墙。如此的话，后续增添其他功能的话，只需要购买模块即可。而不需要更换整个硬件防火墙。也就是说选择的硬件防火墙系统最好是一个可随意伸缩的模块化解决方案，包括从最基本的包过滤器到带加密功能的V**型包过滤器，最终到一个独立的应用网关的等等。只有如此，才能轻松面对企业信息化应用的升级。

二是考虑网络接口的问题。通常情况下防火墙最基本的配置有两个网络接口：内部的和外部的网络接口。这些接口对应着访问网络的信任程度。其中外部网络接口连接的是不可信赖的网络，而内部网络接口连接的是得到信任的网络。在内部网部署时，连接到外部的接口可能需要和公司的主要部分连接，这时可能比外部网络的信任度高，但又稍微低于内部网络的信任度。但是随着公司因特网商业需求的复杂化，只有两个接口的防火墙明显具有局限性，可能无法满足企业业务方面的需求。如企业可能出于安全的需要，以后很有可能要用到第三个接口DMZ接口。为此为了以后信息化应用升级的考虑，在防火墙选购时，还需要关注是否有足够丰富的接口;或者考虑以后是否可以通过模块的形式来增加可用的接口。