0x00 简介
对于防火墙这个东西，小白理解起来有点困难，而且网上的文章都是太多太乱太杂的，还有就是安全狗和软件硬件防火墙的区别也不明白，会导致学习困难。所以在这里特地发表一篇防火墙简单的介绍文章，文章主旨最简单的介绍明白防火墙，想要深入结合网上的地摊文去理解。

0x01 防火墙的简介
通俗来说，就是在你内网和外网之间建立一堵墙，所有的网络通信和数据包都会流经这堵墙，这堵墙有一个ACL匹配机制，匹配上就执行，不行就丢弃。

0x02 防火墙的工作方式
1.包过滤
原理：单包过滤 ， 优点是速度快
缺点：因为单包处理，容易发生DDOS ，如TCP三次握手。

2.状态检测
这一种是结合包过滤产生的一种，把包过滤的缺点弥补上。
主要是建立协议运行的状态跟踪。
缺点是：缓冲区连接数量限制。因为需要等待跟踪包。

3.应用代理
原理：中间人代理，在内部TCP和外部TCP之间，可查看应用，优点是可以协议落地（发现危险直接断开连接）
缺点：延迟大，因为可以认为去操作。

0x03 防火墙部署
1.桥接模式（没啥用，特点透明）
2.网关模式
作用：实现内外网不同网段，实现路由功能。
缺点：配置网关地址，提供服务时做地址翻译NAT

0x04 防火墙技术
1.地址翻译NAT
当使用私网地址访问外网时候，会在防火墙处做一个转发，把私网地址转换成防火墙ip去访问，让外部无法知道内网地址。

一般私有网段
A段：10.0.0.1-10.255.255.254
B段：172.16.0.1-172.31.255.254
C段：192.168.0.1-192.168.255.254
所有内网可以用这些网络，可以节省ip，现在都ipv6L了。

2.地址映射MAP
当内网需要外部访问自己的server ，但是无法知道内网ip，使用map把防火墙的ip映射到内网ip，然后访问防火墙ip就可以实现访问内网，也不会访问没有映射的电脑，保证安全。

3.高可靠性HA
就是建立两个防火墙，一个可以不工作，然后一个坏了，另一个可以全部接管坏的继续工作。

0x05 小知识拓展
1.防护
以上说的防火墙是网络层的防火墙。不属于新型的防火墙，但是原理没有错。像应用层的防护有网络防病毒AV（杀毒软件），入侵检测系统IPS。

2.安全狗和硬件防火墙和软件防火墙区别和优缺点
安全狗
这东西我开始感觉和防火墙的作用差不多，但是仔细研究了发现不同。安全狗防护机制是匹配危险丢掉，通俗的说也就是过滤，软件层次上，防护Web层次上还有一些DDOS，CC，之类的攻击，丢掉。
这个软件确实不错，但是长期开启会占用很大内存，不适合所有服务器，而且所有人都可以安装，黑客可以去研究过滤和防护机制。硬件防火墙毕竟有自己硬件，自己的程序，不是公开的，过滤机制会比它好很多。

硬件防火墙
绝对是三者当中最好的，也是最贵的，其他两个都是没有成本的，缺点就是小成本的厂家不会用。

软件防火墙
其实就是在电脑上安装两个虚拟网卡，一个进一个出，然后安装上防火墙软件。
这种产品的缺点就是各种配置机器都可以用，产家无法专业维护一款硬件增加性能，所以性能会一般，不如硬件的好。

3.IDS和IPS
IDS：监督流量，可以发现危险，但是无法处理
IPS：处理流量，发现并处理。
IDS/IPS和防火墙可以做个比喻，防火墙是公司门禁系统，IDS相当于摄像头，IPS相当于带激光攻击的摄像头。

0x06 总结
防火墙其实就是网关模式，把内外网分开，内网的ip访问外网通过NAT把IP转化成防火墙的路由功能IP，外部要是访问内网服务器，用MAP功能把服务器的IP和端口映射到防火墙路由上。防火墙还通过ACL可以把不好得数据给扔掉。
这就是我理解的防火墙。

个人博客：xiaochaiji.cn

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课