1. 什么是防火墻
   在計算機網(wǎng)絡(luò)中是指設(shè)置在可信任的內(nèi)部網(wǎng)絡(luò)和不可信任的外部網(wǎng)絡(luò)之間的屏障，通過強化邊界控制保障內(nèi)容安全，同時不妨礙內(nèi)部對外部的訪問。

20世紀80年代，最早的防火墻幾乎與路由器同時出現(xiàn)，第一代防火墻主要基于包過濾（Packet filter）技術(shù)，是依附于路由器的包過濾功能實現(xiàn)的防火墻；隨著網(wǎng)絡(luò)安全重要性和性能要求的提高，防火墻漸漸發(fā)展為一個獨立結(jié)構(gòu)的、有專門功能的設(shè)備。

1989年，貝爾實驗室最早推出了第二代防火墻，即電路層防火墻。

20世紀90年代初，開始推出第三代防火墻，即應(yīng)用層防火墻（或者叫做代理防火墻）。

1992年，USC信息科學(xué)院開發(fā)出了基于動態(tài)包過濾（Dynamic packet filter）技術(shù)的，后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視（Stateful inspection）技術(shù)?；诖思夹g(shù)，1994年，市面上出現(xiàn)了第四代防火墻，

1998年，NAI公司推出了一種自適應(yīng)代理（Adaptive proxy）技術(shù)，并在其產(chǎn)品Gauntlet Firewall for NT中得以實現(xiàn)，給代理類型的防火墻賦予了全新的意義，可以稱之為第五代防火墻。

2. 防火墻的作用
   強化網(wǎng)絡(luò)安全策略：具有不同信任的互連網(wǎng)絡(luò)
   防止網(wǎng)絡(luò)故障蔓延
   對網(wǎng)絡(luò)訪問進行監(jiān)控審核和報警
   提供流量控制（帶寬管理）和計費
   利用IPSec實現(xiàn)VPN
   實現(xiàn)MAC與IP地址的綁定
3. 防火墻的局限性
   防火墻存在被繞過的可能
   無法抵御內(nèi)部威脅
   不能防止對開放端口（服務(wù)）的攻擊
   防火墻可以阻斷攻擊，但無法消除攻擊源
   防火墻自身也可能會受到攻擊
4. 防火墻的種類
   4.1 技術(shù)原理區(qū)分
   4.1.1 包過濾型防火墻
   最簡單最快的防火墻，也是任何防火墻系統(tǒng)的基礎(chǔ)。它可以檢查的每個IP數(shù)據(jù)包，按過濾規(guī)則 允許或拒絕。

能夠查看的信息包括：

源IP，目的IP
TCP/UDP 端口號
承載協(xié)議
即網(wǎng)絡(luò)層和傳輸層的數(shù)據(jù)報文。

可能受到的攻擊：

? IP地址欺騙：信任一個假地址

4.1.2 代理防火墻
整個網(wǎng)絡(luò)環(huán)境中，充當一個代理的角色。

工作過程：

用戶的請求發(fā)送給代理防火墻。
代理防火墻驗證請求為合法后，向網(wǎng)絡(luò)應(yīng)用服務(wù)器發(fā)送請求。
網(wǎng)絡(luò)應(yīng)用服務(wù)器處理后，將響應(yīng)信息返回給代理防火墻，再發(fā)送給用戶。
4.1.3 狀態(tài)檢測防火墻
狀態(tài)檢測型防火墻擴展了包過濾防火墻，跟蹤每個TCP連接的狀態(tài)，將屬于同一個連接的所有包作為一個整體的數(shù)據(jù)流看待。

即 隸屬于同一個會話的數(shù)據(jù)包，會更快流過設(shè)備，而不是每次都匹配過濾規(guī)則。

相比較包過濾防火墻，降低傳輸時間，提高處理效率。

4.1.4 地址轉(zhuǎn)換防火墻
附有網(wǎng)絡(luò)地址轉(zhuǎn)換（NAT）功能的防火墻，或網(wǎng)絡(luò)地址端口轉(zhuǎn)換（NAPT）。

4.2 實現(xiàn)形態(tài)區(qū)分
4.2.1 軟件防火墻
4.2.2 硬件防火墻
4.3 部署位置區(qū)分
4.3.1 邊界防火墻
4.3.2 個人防火墻
4.3.3 混合防火墻
5. 防火墻的工作模式
三種工作模式：

5.1 路由模式
防火墻以第三層對外連接（接口具有IP地址）

5.2 透明模式
防火墻以第二層對外連接（接口無IP地址）

5.3 混合模式
防火墻既有 工作在路由模式的接口，也有工作在透明模式的接口。

6. 防火墻的部署
   根據(jù)使用場景，選擇部署防火墻系統(tǒng)。例如，小型網(wǎng)絡(luò)環(huán)境的路由設(shè)備或其他主機中，加入防火墻的功能，從而節(jié)省成本；大型網(wǎng)絡(luò)系統(tǒng)中，有分布式防火墻和防火墻集群。

6.1 屏蔽路由器和屏蔽主機
屏蔽路由器：具有數(shù)據(jù)包過濾功能的路由器
屏蔽主機：具有數(shù)據(jù)包過濾功能的主機
二者都可以部署為簡單的防火墻，通過配置完成防火墻的功能。

6.2 雙穴主機或雙宿主機
雙穴主機：有兩個網(wǎng)絡(luò)接口的計算機系統(tǒng)，一個連接內(nèi)網(wǎng)，一個連接外網(wǎng)。
6.3 堡壘主機
堡壘主機（Bastion Host）：網(wǎng)絡(luò)上一種配置了安全防范措施的計算機。

6.4 屏蔽子網(wǎng)防火墻
屏蔽子網(wǎng)防火墻：在被保護網(wǎng)絡(luò)和Internet之間設(shè)置了獨立的子網(wǎng)作為防火墻。典型例DMZ。

DMZ一般是兩臺防火墻之間的區(qū)域，

7. 防火墻的性能指標
   7.1 指標量
   吞吐量：不丟包的情況下能夠達到的最大速率。影響網(wǎng)絡(luò)性能的重要指標之一。
   延時：防火墻設(shè)備處理數(shù)據(jù)包的速度，從接受bit流到輸出bit流的時間段。影響網(wǎng)絡(luò)性能的重要指標之一。
   丟包率：在連續(xù)負載的情況下，由于防火墻設(shè)備資源不足導(dǎo)致數(shù)據(jù)包丟失的百分比。影響穩(wěn)定性可靠性。
   背靠背：體現(xiàn)防火墻對突發(fā)數(shù)據(jù)的處理能力。
   最大并發(fā)連接數(shù)
   最大并發(fā)連接建立速率
   最大策略數(shù)
   平均無故障間隔時間
   支持的最大用戶數(shù)