概念：

防火墙（Firewall），也称防护墙，它是一种位于内部网络与外部网络之间的网络安全防护系统，是一种隔离技术，允许或是限制传输的数据通过。

基于 TCP/IP 协议，主要分为主机型防火墙和网络型防火墙，防火墙规则通常依据 IP addresses、Domain names、Protocols、Programs、Port 等制定，这样就能过滤掉一些来自 Internet 上的黑客攻击、木马病毒侵入风险，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外。换句话说，如果不通过防火墙，公司内部的人就无法访问 Internet，Internet 上的人也无法和公司内部的人进行通信。

用通信语言来定义，防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

从实现的方式来看，防火墙可以分为硬件防火墙和软件防火墙。硬件防火墙是通过硬件与软件的结合来达到隔离内外部网络的目的，而软件防火墙则是通过纯软件的方式来实现。

LAN（Local Area Network）局域网，WAN（Wide Area Network）广域网

防火墙的作用：

防火墙能够隔离风险区域和安全区域，但不会妨碍人们对风险区域的访问。从总体上看，防火墙应该具有以下基本功能：

1.限制未授权用户进入内部网络，过滤掉不安全的服务和非法用户。

2.防止入侵者接近内部网络的防御设施，对网络攻击进行检测和报警。

3.限制内部用户访问特殊站点。

4.记录通过防火墙的信息内容和活动。

防火墙的部署位置：

（1）可信网络与不可信网络之间

（2）不同安全级别网络之间

（3）两个需要隔离的区域之间

原文链接：https://blog.51cto.com/u_15200479/4065717

防火墙的技术特点：

而一个好的防火墙系统应该具备以下特性：

1.所有在内部网络和外部网络之间传输的数据都必须经过防火墙。

2.只有被授权的合法数据即安全策略允许的数据才允许通过防火墙。

3.防火墙本身具有预防入侵的功能，不受各种攻击的影响。

4.人机交互界面良好，用户配置方便、易管理。

防火墙的分类：

（1）网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。

（2）应用层防火墙

应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其=他的封包（通常是直接将封包丢弃）。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。

（3）数据库防火墙

数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。

防火墙的局限性：

• 防火墙不能阻止那些绕过防火墙的攻击：
• 防火墙不能完全防止内部威胁；
• 一个安全性不当的无线局域网可能会受到来自该系统外的访问；
• 笔记本电脑等设备可能会被使用中的网络外部利用、感染，然后再被接入到内网并被使用；

防火墙虽然是保护网络安全的基础性设施，但是它还存在着一些不易防范的安全威胁：首先防火墙不能防范未经过防火墙或绕过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与 Internet 的直接连接。防火墙基于数据包包头信息的检测阻断方式，主要对主机提供或请求的服务进行访问控制，无法阻断通过开放端口流入的有害流量，并不是对蠕虫或者黑客攻击的解决方案。另外，防火墙很难防范来自于网络内部的攻击或滥用。

防火墙的载体：

防火墙可安装在一台独立的运行操作系统的机器上；防火墙功能也可作为一个软件模块在一个路由器或局域网开关中实现。

堡垒主机：集中了整个网络的安全问题，两个网卡对接两个网络，最容易被攻击，也最需要完善的保护措施；
主机防火墙：保护个人主机的软件模块；
个人防火墙：防止未经认证的远程接入计算机；
 

防火墙接入方式：

1、透明接入：不用配置IP地址，内部网络主机的配置不用调整；

2、路由接入：相当于简单的路由器；

3、混合模式：透明接入和路由接入混合。

 =============================================================================================================================

防火墙和堡垒机的三大区别：

1、性质不同

防火墙是私有网络与公网之间的门卫，而堡垒机是内部运维人员与私网之间的门卫。防火墙墙所起的作用是隔断，无论谁都过不去，但是堡垒机就不一样了，他的职能是检查和判断是否可以通过，只要符合条件就可以通过，堡垒机更加灵活一些。

2、作用不同

防火墙的作用是隔断两者之间的联系，无论任何资源都无法访问过去，而堡垒机的作用是检查、判断是否可以通过，只要符合条件就可以通过，相对于来说堡垒机更加灵活一些。

3、含义不同

防火墙是指网络防火墙，链接计算机与它所链接网络之间的软件。计算机所有的出入网络通信都要经过网络防火墙。堡垒机是针对内部运维人员的运维安全审计系统，堡垒机的作用是对运维人员的运维操作进行安全审计与权限控制，同时堡垒机还有很好的账号管理功能。

===================================================================================================================

防火墙与路由器、交换机的区别：

“路由器”用来连接不同的网络，通过路由协议保证互联互通，确保将报文转发到目的地；
“交换机”则通常用来组建局域网，作为局域网通信的重要枢纽，通过二层/三层交换快速转发报文；
而防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙的本质是控制。
现阶段中低端路由器与防火墙有合一趋势，主要也是因为二者互相功能兼具，变成all in one的目标，华为也发布了一系列中低端设备。