什么是防火墻？
防火墻是監(jiān)視網(wǎng)絡流量的安全設備。它通過根據(jù)一組既定規(guī)則過濾傳入和傳出的流量來保護內部網(wǎng)絡。設置防火墻是在系統(tǒng)和惡意攻擊之間添加安全層的最簡單方法。

防火墻如何工作？
防火墻放置在系統(tǒng)的硬件或軟件級別，以保護其免受惡意流量的攻擊。根據(jù)設置，它可以保護單臺計算機或整個計算機網(wǎng)絡。設備根據(jù)預定義規(guī)則檢查傳入和傳出流量。
通過從發(fā)送方請求數(shù)據(jù)并將其傳輸?shù)浇邮辗絹磉M行Internet上的通信。由于無法整體發(fā)送數(shù)據(jù)，因此將其分解為組成初始傳輸實體的可管理數(shù)據(jù)包。防火墻的作用是檢查往返主機的數(shù)據(jù)包。

不同類型的防火墻具有不同的功能，接下來藍隊云隊長來談談防火墻有哪些分類以及他們有哪些特點。

· 軟件防火墻

軟件防火墻是寄生于操作平臺上的，軟件防火墻是通過軟件去實現(xiàn)隔離內部網(wǎng)與外部網(wǎng)之間的一種保護屏障。由于它連接到特定設備，因此必須利用其資源來工作。所以，它不可避免地要耗盡系統(tǒng)的某些RAM和CPU。并且如果有多個設備，則需要在每個設備上安裝軟件。

由于它需要與主機兼容，因此需要對每個主機進行單獨的配置。主要缺點是需要花費大量時間和知識在每個設備管理和管理防火墻。另一方面，軟件防火墻的優(yōu)勢在于，它們可以在過濾傳入和傳出流量的同時區(qū)分程序。因此，他們可以拒絕訪問一個程序，同時允許訪問另一個程序。

· 硬件防火墻

顧名思義，硬件防火墻是安全設備，代表放置在內部和外部網(wǎng)絡（Internet）之間的單獨硬件。此類型也稱為設備防火墻。

與軟件防火墻不同，硬件防火墻具有其資源，并且不會占用主機設備的任何CPU或RAM。它是一種物理設備，充當用于進出內部網(wǎng)絡的流量的網(wǎng)關。

擁有在同一網(wǎng)絡中運行多臺計算機的中型和大型組織都使用它們。在這種情況下，使用硬件防火墻比在每個設備上安裝單獨的軟件更為實際。配置和管理硬件防火墻需要知識和技能，因此請確保有一支熟練的團隊來承擔這一責任。

· 包過濾防火墻

根據(jù)防火墻的操作方法來劃分防火墻的類型時，最基本的類型是數(shù)據(jù)包篩選防火墻。它用作連接到路由器或交換機的內聯(lián)安全檢查點。顧名思義，它通過根據(jù)傳入數(shù)據(jù)包攜帶的信息過濾來監(jiān)控網(wǎng)絡流量。

如上所述，每個數(shù)據(jù)包包括一個報頭和它發(fā)送的數(shù)據(jù)。此類防火墻根據(jù)標頭信息來決定是允許還是拒絕訪問數(shù)據(jù)包。為此，它將檢查協(xié)議，源IP地址，目標IP，源端口和目標端口。根據(jù)數(shù)字與訪問控制列表的匹配方式（定義所需/不需要的流量的規(guī)則），數(shù)據(jù)包將繼續(xù)傳遞或丟棄。

· 電路級網(wǎng)關

電路級網(wǎng)關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網(wǎng)關是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。

電路級網(wǎng)關還提供一個重要的安全功能：代理服務器(Proxy Server)。代理服務器是設置在Internet防火墻網(wǎng)關的專用應用級代碼。這種代理服務準許網(wǎng)管員允許或拒絕特定的應用程序或一個應用的特定功能。

· 規(guī)則檢查防火墻

該防火墻結合了包過濾防火墻、電路級網(wǎng)關和應用級網(wǎng)關的特點。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網(wǎng)絡層上通過IP地址和端口號，過濾進出的數(shù)據(jù)包。它也象電路級網(wǎng)關一樣，能夠檢查SYN和ACK標記和序列數(shù)字是否邏輯有序。當然它也象應用級網(wǎng)關一樣，可以在OSI應用層上檢查數(shù)據(jù)包的內容，查看這些內容是否能符合企業(yè)網(wǎng)絡的安全規(guī)則。

規(guī)則檢查防火墻雖然集成前三者的特點，但是不同于一個應用級網(wǎng)關的是，它并不打破客戶機/服務器模式來分析應用層的數(shù)據(jù)，它允許受信任的客戶機和不受信任的主機建立直接連接。規(guī)則檢查防火墻不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。

· 代理防火墻

代理防火墻充當通過Internet通信的內部和外部系統(tǒng)之間的中間設備。它通過轉發(fā)來自原始客戶端的請求并將其掩蓋為自己的網(wǎng)絡來保護網(wǎng)絡。代理的意思是充當替代者，因此，代理就發(fā)揮了作用。它代替了發(fā)送請求的客戶端。當客戶端發(fā)送訪問網(wǎng)頁的請求時，代理服務器將與該消息相交。代理將消息轉發(fā)到Web服務器，假裝是客戶端。這樣做可以隱藏客戶端的標識和地理位置，從而保護其不受任何限制和潛在的攻擊。然后，Web服務器做出響應，并將請求的信息提供給代理，該信息將傳遞給客戶端。

· 下一代防火墻

下一代防火墻是結合了許多其他防火墻功能的安全設備。它合并了數(shù)據(jù)包，狀態(tài)和深度數(shù)據(jù)包檢查。簡而言之，NGFW會檢查數(shù)據(jù)包的實際有效負載，而不是僅關注標頭信息。

與傳統(tǒng)防火墻不同，下一代防火墻檢查數(shù)據(jù)的整個事務，包括TCP握手，表面級別和深度包檢查。使用NGFW可以充分防御惡意軟件攻擊，外部威脅和入侵。這些設備非常靈活，并且沒有明確定義它們提供的功能。因此，請確保研究每個特定選項提供的內容。

· 云防火墻

云防火墻或防火墻即服務（Faas）是用于網(wǎng)絡保護的云解決方案。像其他云解決方案一樣，它由第三方供應商維護并在Internet上運行。客戶端通常將云防火墻用作代理服務器，但是配置可以根據(jù)需求而變化。它們的主要優(yōu)點是可伸縮性。它們與物理資源無關，從而可以根據(jù)流量負載擴展防火墻容量。企業(yè)使用此解決方案來保護內部網(wǎng)絡或其他云基礎架構（Iaas / Paas）。

以上就是不同的防火墻對應的特點！想必閱讀過后你會對防火墻有更深的了解！

如果有防火墻的需求可以了解一下藍隊云web應用防火墻！藍隊云應用防火墻可以幫助客戶防范常見Web安全問題，比如拖庫、命令注入、敏感文件訪問等高危攻擊。用戶還可以設置開啟、停用內置信譽庫，防范惡意IP、惡意爬蟲掃描器等威脅！