防火墙是一种计算机网络安全系统，用于限制互联网流量进入、流出或进入专用网络。该软件或专用硬件-软件单元通过选择性地阻止或允许数据包来发挥作用。它通常旨在防止任何人（无论是在专用网络内部还是外部）参与未经授权的Web活动，并帮助防止恶意活动。

什么是防火墙？

防火墙可以被视为门控边界或网关，用于管理专用网络中允许和禁止的Web活动的传播。该术语来自物理墙的概念，即物理墙是减缓火势蔓延的屏障，直到紧急服务能够将其扑灭。相比之下，网络安全防火墙用于网络流量管理——通常旨在减缓网络威胁的传播。

防火墙创建“阻塞点”来汇集网络流量，然后根据一组编程参数对其进行审查并据此采取行动。一些防火墙还跟踪审计日志中的流量和连接，以参考允许或阻止的内容。

防火墙通常用于封闭专用网络或其主机设备的边界。因此，防火墙是更广泛的用户访问控制类别中的一种安全工具。这些屏障通常设置在两个位置——网络上的专用计算机或用户计算机和其他端点本身（主机）。

谁发明了防火墙？

防火墙的发明应该被视为“正在进行的”。这是因为它在不断发展，并且有多个“创造者”参与了它的发展和发展。从1980年代后期到90年代中期，每个创建者都扩展了各种与防火墙相关的组件和版本，然后才成为所有现代防火墙的基础产品。

布赖恩·里德、保罗·维西和杰夫·莫古尔

在1980年代后期，Mogul、Reid和Vixie各自在DigitalEquipmentCorp(DEC)担任开发包过滤技术的角色，该技术将在未来的防火墙中变得有价值。这导致了在外部连接与内部网络上的计算机联系之前审查外部连接的概念。虽然有些人可能将此数据包过滤器视为第一个防火墙，但它更像是一种组件技术，支持未来的“真正”防火墙系统。

大卫·普雷索托、贾纳丹·夏尔马、KshitijiNigam、WilliamCheswick和StevenBellovin

80年代末到90年代初，AT&T贝尔实验室的各个工作人员研发了电路级网关防火墙的早期概念。这是第一个审查和允许正在进行的连接而不是在每个数据包后重复重新授权的防火墙。Presotto、Sharma和Nigam从1989年到1990年开发了电路级网关，随后Cheswick和Bellovin在1991年开发了防火墙技术。

马库斯·拉纳姆

从1991年到1992年，Ranum在DEC发明了安全代理，它成为第一个应用层防火墙产品的重要组成部分——1991年基于代理的安全外部访问链路(SEAL)产品。这是Reid、Vixie和Mogul在DEC工作的扩展，并且是第一个商业发布的防火墙。

GilShwed和NirZuk

从1993年到1994年在CheckPoint，公司创始人GilShwed和多产的开发人员NirZuk在开发第一个被广泛采用、用户友好的防火墙产品Firewall-1中发挥了重要作用。GilShwed于1993年发明并申请了用于状态检查的美国专利。紧随其后的是NirZuk为1994年的Firewall-1开发了易于使用的图形界面，这对于在企业和家庭中更广泛地采用防火墙至关重要。可预见的未来。

这些发展对于塑造我们今天所知的防火墙产品至关重要，每一个都以某种身份用于许多网络安全解决方案。

为什么防火墙很重要

没有保护的网络很容易受到任何试图访问您系统的流量的影响。无论有害与否，都应始终审查网络流量。将个人电脑连接到其他IT系统或互联网开辟了一系列积极的可能性。与他人的轻松协作、整合资源和增强创造力的代价是完整的网络和设备保护。黑客、身份盗用、恶意软件和在线欺诈是用户通过将计算机连接到网络或互联网而暴露自己时可能面临的常见威胁。

一旦被恶意行为者发现，您的网络和设备就很容易被找到、快速访问并暴露在重复的威胁之下。全天候的互联网连接会增加这种风险（因为您的网络可以随时访问）。

使用任何类型的网络时，主动保护都至关重要。用户可以通过竖起一堵看不见的墙来过滤这些威胁，从而避免最严重的危险。幸运的是，一堵看不见的墙已经存在——它被称为防火墙。

防火墙是如何工作的？

防火墙决定允许哪些网络流量通过以及哪些流量被视为危险。它本质上是通过过滤掉好的坏的，或者从不可信的中过滤掉可信的来工作的。在我们详细介绍之前，我们必须先了解基于Web的网络的结构，然后再解释防火墙如何在它们之间进行过滤。

防火墙旨在保护私有网络和其中的端点设备，称为网络主机。网络主机是与网络上的其他主机“对话”的设备。它们在内部网络之间发送和接收，以及在外部网络之间进行出站和入站。您的计算机和其他端点设备使用网络访问互联网-以及彼此。为了安全和隐私，互联网被分割成子网或“子网”。

筛选路由器是放置在网络上以对其进行分段的专用网关计算机。它们在网络级别被称为家庭防火墙。两种最常见的分段模型是屏蔽主机防火墙和屏蔽子网防火墙。

如前所述，网络外围和主机本身都可以容纳防火墙。为此，它被放置在单台计算机及其与专用网络的连接之间。

网络防火墙需要针对广泛的连接进行配置，而主机防火墙可以根据每台机器的需要进行定制。主机防火墙需要更多的定制工作，这意味着基于网络的防火墙是全面控制解决方案的理想选择。但是同时在两个位置使用两个防火墙对于多层安全系统来说是理想的。

通过防火墙过滤流量利用预先设置或动态学习的规则来允许和拒绝尝试的连接。这些规则是防火墙如何调节通过您的专用网络和专用计算机设备的网络流量。无论类型如何，所有防火墙都可能通过以下某些混合进行过滤：

源和目标通过互联网协议(IP)地址和端口进行通信。IP地址是每个主机的唯一设备名称。端口是任何给定源和目标主机设备的子级别，类似于较大建筑物内的办公室。端口通常被分配特定用途，因此使用不常见端口或禁用端口的某些协议和IP地址可能是一个问题。

通过使用这些标识符，防火墙可以决定是丢弃尝试连接的数据包（静默丢弃还是将错误回复发送给发送者）或转发。

防火墙安全有什么作用？

网络安全防火墙的概念旨在将网络的攻击面缩小到单点接触。不是网络上的每台主机都直接暴露在更大的互联网上，而是所有流量都必须首先联系防火墙。由于这也反向工作，防火墙可以过滤和阻止未经允许的流量，进出。此外，防火墙用于创建尝试的网络连接的审计跟踪，以提高安全意识。

由于流量过滤可以是专用网络所有者建立的规则集，因此这为防火墙创建了自定义用例。流行的用例涉及管理以下内容：

值得注意的是，防火墙在以下方面不是很有效：

防火墙类型

不同类型的防火墙包含不同的过滤方法。虽然每种类型的防火墙都是为了超越前几代防火墙而开发的，但大部分核心技术已经在几代人之间传承了下来。

防火墙类型的区别在于它们的方法：

每种类型都在标准化通信模型的不同级别运行，即开放系统互连模型(OSI)。该模型可以更好地了解每个防火墙如何与连接交互。

静态包过滤防火墙

静态包过滤防火墙，也称为无状态检测防火墙，在OSI网络层（第3层）运行。它们通过检查通过网络发送的所有单个数据包，根据它们来自哪里以及它们试图去哪里来提供基本过滤。值得注意的是，以前接受的连接不会被跟踪。这意味着每次发送的每个数据包都必须重新批准每个连接。

过滤基于IP地址、端口和数据包协议。这些防火墙至少可以防止两个网络在未经许可的情况下直接连接。

过滤规则是根据手动创建的访问控制列表设置的。这些非常严格，很难在不影响网络可用性的情况下适当地覆盖不需要的流量。静态过滤需要持续手动修改才能有效使用。这在小型网络上是可以管理的，但在大型网络上很难。

审计日志不适用于包过滤防火墙。这会使跟踪过去和正在进行的攻击变得具有挑战性，这对于大型网络来说并不理想。缺乏读取应用程序协议的能力意味着无法读取在数据包中传递的消息的内容。在不阅读内容的情况下，包过滤防火墙的保护质量有限。

电路级网关防火墙

电路级网关在传输层（第4层）上运行。这些防火墙在尝试的连接中检查功能数据包，如果运行良好，将允许两个网络之间的持久开放连接。发生这种情况后，防火墙将停止监督连接。

除了连接方法之外，电路级网关可以类似于代理防火墙。正在进行的不受监控的连接是危险的，因为合法的手段可以打开连接，然后允许恶意行为者不间断地进入。

状态检查防火墙

状态检查防火墙，也称为动态数据包过滤防火墙，与静态过滤相比，在监控正在进行的连接并记住过去的连接方面是独一无二的。与电路级防火墙类似，这些防火墙始于在传输层（第4层）上运行。如今，这些防火墙可以监控许多层，包括应用层（第7层）。

与静态过滤防火墙一样，状态检测防火墙根据技术属性（例如特定的数据包协议、IP地址或端口）允许或阻止流量。这些防火墙还使用状态表根据连接状态进行唯一跟踪和过滤。

此防火墙根据筛选路由器在状态表中记录的过去连接事件更新筛选规则。通常，过滤决策通常基于管理员在设置计算机和防火墙时的规则。状态表允许这些动态防火墙根据之前“学习”的交互做出自己的决定。例如，过去造成中断的流量类型将在未来被过滤掉。状态检查的灵活性使其成为最普遍的防护类型之一。

代理防火墙

代理防火墙，也称为应用级防火墙（第7层），在读取和过滤应用协议方面是独一无二的。它们结合了应用程序级检查或“深度数据包检查(DPI)”和状态检查。

代理防火墙尽可能接近实际的物理屏障。与其他类型的防火墙不同，它充当外部网络和内部主机计算机之间的另外两台主机，其中一台作为每个网络的代表（或“代理”）。

过滤基于应用程序级数据，而不仅仅是IP地址、端口和基本数据包协议（UDP、ICMP），如基于数据包的防火墙。阅读和理解FTP、HTTP、DNS和其他命令可以对许多不同的数据特征进行更深入的调查和交叉过滤。

作为门口的守卫，它本质上是查看和评估传入的数据。如果没有检测到问题，则允许数据传递给用户。这种高安全性的缺点是它有时会干扰不构成威胁的传入数据，从而导致功能延迟。

下一代防火墙(NGFW)

不断演变的威胁继续需要更强大的解决方案，而下一代防火墙通过将传统防火墙的功能与网络入侵防御系统相结合来解决这个问题。

针对特定威胁的下一代防火墙旨在更精细地检查和识别特定危险，例如高级恶意软件。它们更常被企业和复杂的网络使用，它们提供了过滤危险的整体解决方案。

混合防火墙

顾名思义，混合防火墙在单个专用网络中使用两种或多种防火墙类型。

防火墙示例

在实践中，防火墙因其在现实世界中的应用而成为褒贬不一的话题。虽然防火墙成就历史悠久，但必须正确实施这种安全类型以避免漏洞利用。此外，众所周知，防火墙以有道德问题的方式使用。

中国防火墙，互联网审查

自1998年以来，中国已经建立了内部防火墙框架来创建其严密监控的内部网。从本质上讲，防火墙允许在一个国家内创建定制版本的全球互联网。他们通过阻止选择的服务和信息在这个国家内部网中被使用或访问来实现这一点。

国家监视和审查允许在保持政府形象的同时持续压制言论自由。此外，中国的防火墙允许其政府将互联网服务限制为本地公司。这使得对搜索引擎和电子邮件服务等事物的控制更容易监管，有利于政府的目标。自然地，中国内部一直在抗议这种审查制度。使用虚拟专用网络和代理来越过国家防火墙让许多人表达了他们的不满。

COVID-19美国联邦机构因远程工作弱点而受到损害

2020年，配置错误的防火墙只是导致匿名美国联邦机构违规的众多安全漏洞之一。

据信，一个民族国家行为者利用了美国机构网络安全中的一系列漏洞。在许多引用的安全问题中，正在使用的防火墙有许多不恰当地向流量开放的出站端口。除了维护不善之外，该机构的网络可能还面临远程工作的新挑战。一旦进入网络，攻击者的行为方式就表明了通过任何其他开放路径到达其他机构的明确意图。这种类型的努力不仅使被渗透的机构面临安全漏洞的风险，而且还使许多其他机构面临安全漏洞的风险。

美国电网运营商未打补丁的防火墙被利用

2019年，一家美国电网运营提供商受到黑客利用的拒绝服务(DoS)漏洞的影响。外围网络上的防火墙在重启漏洞利用循环中卡住了大约十个小时。

它后来被认为是防火墙中已知但未修补的固件漏洞的结果。尚未实施在实施前检查更新的标准操作程序，但会导致更新延迟和不可避免的安全问题。幸运的是，安全问题并没有导致任何重大的网络渗透。这些事件是定期软件更新重要性的另一个有力指标。没有它们，防火墙是另一个可以被利用的网络安全系统。

如何使用防火墙保护

正确设置和维护防火墙对于保护网络和设备至关重要。

以下是一些指导您的防火墙安全实践的提示：