防火墙主要功能

1 防火墙概述

在介绍防火墙功能之前，先简单介绍下防火墙一词的前世今生。防火墙一词源于一种古代的消防建筑。在古代，由于房屋通常是木质结构，一旦失火极易蔓延，造成大量生命财产损失。为了在火灾时隔断火势的传播，人们把结实的石块叠起来，围绕着房子筑起了一堵墙，以此为屏障，这种防护构筑物称为防火墙。时至今日，防火墙一词被引入通信领域中。因为在网络（内部网络）与网络（外部网络）之间存在着安全入侵和威胁，所以人们也需要在网络之间设置一道防火墙。

在网络领域中，防火墙可以是由独立的硬件与软件组合而成的硬件防火墙，也可以是嵌入到其他设备系统的软件防火墙。其本质是将内部网络与外部网络隔离开来的一道防御系统，它会对流经防火墙的数据进行安全审查，只有经过防火墙授权的数据才被允许访问内部网络，从而保护内部网络免受非法用户的攻击和入侵。如今，防火墙已然成为保护网络数据安全不可或缺的一种手段。

图1-1 防火墙数据访问示意图

2 防火墙主要功能

当面临大量的网络攻击时，防火墙能够作为网络安全防护的第一道屏障，不被非法获取或破坏，依靠的是丰富的安全功能。由于不同安全厂商间的防火墙产品在支持的功能上有所差异，因此，本文仅介绍一些通用的防火墙功能，包括基础的防火墙功能和高级功能。

2.1 基础防火墙功能

本节将介绍如下基础防火墙功能：

●访问控制

●NAT

●日志记录与监控

2.1.1 访问控制

访问控制是防火墙常见的功能，它主要通过包过滤来实现。包过滤将检查转发报文的报文头信息，包括源IP地址、目的IP地址、源端口号、目的端口号及协议类型（即五元组）。当用户在防火墙设置了过滤规则后，会在防火墙中形成一个过滤规则表，规则匹配的动作是允许（Permit）或拒绝（Deny）。报文进入防火墙时，防火墙会根据报文的头部信息与过滤规则表进行逐条比对，根据对比的结果来决定是否允许数据包通过。图中IP报文2未能匹配过滤规则2被拒绝通过，而IP报文1和3符合匹配规则被放行通过。

图2-1 包过滤访问控制示意图

2.1.2 NAT

NAT（Network Address Translation，网络地址转换）是指将一个IP地址转换为另一个IP地址的过程，主要用于实现内部网络访问外部网络的功能。由于防火墙大多部署在企业网络的边界出口，用于与外部的Internet网络隔离，内部用户想要访问互联网通常需要借助防火墙的NAT功能。不同的NAT适用于不同场景，这里仅介绍最常用的源NAT地址转换。源NAT主要是对IP报文的源地址进行转换，将用户的私网IP地址转换为公网IP地址，这样能使众多的私网用户利用少量的公网地址即可访问Internet，有助于减缓可用IP地址空间的枯竭。

图2-2 源NAT转换示意图

2.1.3 日志记录

当报文到达防火墙时，防火墙会扫描报文并根据配置的防火墙策略执行动作，这些动作包括允许或拒绝报文通过。防火墙此时会将事件记录在日志当中，这些日志在监控内部网络与Internet之间的流量信息、识别非法的访问连接等流量审计活动中能够发挥重要作用。防火墙通常支持本地保存日志，或是将日志保存在内网专门存放日志的服务器里。

图2-3 防火墙日志记录示意图

2.2 高级防火墙功能

本节将介绍如下高级防火墙功能：

●IPSec/SSL VPN

●安全攻击防范

●双机热备功能

2.2.1 IPSec/SSL VPN

防火墙支持多种VPN（Virtual Private Network，虚拟专用网络）的接入，并支持用IPSec（IP Security，IP安全）和SSL（Secure Socket Layer，安全套接层）来加密数据。IPSec通常被应用在站点到站点之间VPN数据加密，如总部的内部主机和和分公司主机存在通信需求时，此时分公司设备可和总部的防火墙建立IPSec VPN连接以接入总部内部主机。而SSL VPN更多地应用在企业用户的移动远程办公接入中，移动办公人员通过SSL VPN连接来接入总部办公系统，邮件系统等。

图2-4 防火墙IPSec VPN接入示意图

2.2.2 安全攻击防范

防火墙的安全攻击防范主要是对应用层的业务实施保护，以避免报文受到安全侵害。安全攻击防范主要可以分为三种类型：

●病毒防护：防火墙一般有内置防病毒库，对木马病毒、蠕虫病毒等常见病毒文件进行检测，使得携带病毒的报文无法接入内部网络。

●入侵防御：防火墙入侵防御功能通过预先定义的防御规则，对进入防火墙的报文会与入侵防御特征库相匹配，以此来抵御常见的攻击行为。

●拒绝服务攻击（DoS，Denial of Service）通过未完成的TCP/IP请求连接大量占用主机会话资源使主机最终崩溃，而防火墙会针对这些不正常的TCP/IP连接进行监控，并设定连接数阈值，一旦接入连接数超过该阈值就会关闭它们，从而抵御外部DoS的攻击。

2.2.3 双机热备

由于防火墙多部署于企业网络的出口，内外网之间的业务都要通过防火墙进行转发。若防火墙出现宕机将造成业务中断，因此，防火墙的可靠性就显得格外重要。为了更好地应对单机设备运行的风险，防火墙通过使用双机热备技术实现冗余功能，类似于虚拟路由冗余协议（VRRP，Virtual Router Redundancy Protocol），当局域网内承担路由转发功能的设备失效后，另一台将自动接管，从而实现IP路由的热备份与容错。双机热备技术可以将一组防火墙虚拟成一台防火墙。其中，仅有一台防火墙可以处于活动，称为主设备（Active），其余称为备设备（Backup）。防火墙可通过此技术实现将配置和会话表（协议的连接状态表）信息的同步，若主防火墙发生故障，备防火墙可以平滑的接替，保障网络的稳定运行。

图2-5 防火墙主备切换示意图