什么是防火墻？
防火墻是監(jiān)視網絡流量的安全設備。它通過根據(jù)一組既定規(guī)則過濾傳入和傳出的流量來保護內部網絡。設置防火墻是在系統(tǒng)和惡意攻擊之間添加安全層的最簡單方法。

防火墻如何工作？
防火墻放置在系統(tǒng)的硬件或軟件級別，以保護其免受惡意流量的攻擊。根據(jù)設置，它可以保護單臺計算機或整個計算機網絡。設備根據(jù)預定義規(guī)則檢查傳入和傳出流量。
通過從發(fā)送方請求數(shù)據(jù)并將其傳輸?shù)浇邮辗絹磉M行Internet上的通信。由于無法整體發(fā)送數(shù)據(jù)，因此將其分解為組成初始傳輸實體的可管理數(shù)據(jù)包。防火墻的作用是檢查往返主機的數(shù)據(jù)包。

不同類型的防火墻具有不同的功能，接下來藍隊云隊長來談談防火墻有哪些分類以及他們有哪些特點。

· 軟件防火墻

軟件防火墻是寄生于操作平臺上的，軟件防火墻是通過軟件去實現(xiàn)隔離內部網與外部網之間的一種保護屏障。由于它連接到特定設備，因此必須利用其資源來工作。所以，它不可避免地要耗盡系統(tǒng)的某些RAM和CPU。并且如果有多個設備，則需要在每個設備上安裝軟件。

由于它需要與主機兼容，因此需要對每個主機進行單獨的配置。主要缺點是需要花費大量時間和知識在每個設備管理和管理防火墻。另一方面，軟件防火墻的優(yōu)勢在于，它們可以在過濾傳入和傳出流量的同時區(qū)分程序。因此，他們可以拒絕訪問一個程序，同時允許訪問另一個程序。

· 硬件防火墻

顧名思義，硬件防火墻是安全設備，代表放置在內部和外部網絡（Internet）之間的單獨硬件。此類型也稱為設備防火墻。

與軟件防火墻不同，硬件防火墻具有其資源，并且不會占用主機設備的任何CPU或RAM。它是一種物理設備，充當用于進出內部網絡的流量的網關。

擁有在同一網絡中運行多臺計算機的中型和大型組織都使用它們。在這種情況下，使用硬件防火墻比在每個設備上安裝單獨的軟件更為實際。配置和管理硬件防火墻需要知識和技能，因此請確保有一支熟練的團隊來承擔這一責任。

· 包過濾防火墻

根據(jù)防火墻的操作方法來劃分防火墻的類型時，最基本的類型是數(shù)據(jù)包篩選防火墻。它用作連接到路由器或交換機的內聯(lián)安全檢查點。顧名思義，它通過根據(jù)傳入數(shù)據(jù)包攜帶的信息過濾來監(jiān)控網絡流量。

如上所述，每個數(shù)據(jù)包包括一個報頭和它發(fā)送的數(shù)據(jù)。此類防火墻根據(jù)標頭信息來決定是允許還是拒絕訪問數(shù)據(jù)包。為此，它將檢查協(xié)議，源IP地址，目標IP，源端口和目標端口。根據(jù)數(shù)字與訪問控制列表的匹配方式（定義所需/不需要的流量的規(guī)則），數(shù)據(jù)包將繼續(xù)傳遞或丟棄。

· 電路級網關

電路級網關用來監(jiān)控受信任的客戶或服務器與不受信任的主機間的TCP握手信息,這樣來決定該會話(Session)是否合法,電路級網關是在OSI模型中會話層上來過濾數(shù)據(jù)包,這樣比包過濾防火墻要高二層。

電路級網關還提供一個重要的安全功能：代理服務器(Proxy Server)。代理服務器是設置在Internet防火墻網關的專用應用級代碼。這種代理服務準許網管員允許或拒絕特定的應用程序或一個應用的特定功能。

· 規(guī)則檢查防火墻

該防火墻結合了包過濾防火墻、電路級網關和應用級網關的特點。它同包過濾防火墻一樣，規(guī)則檢查防火墻能夠在OSI網絡層上通過IP地址和端口號，過濾進出的數(shù)據(jù)包。它也象電路級網關一樣，能夠檢查SYN和ACK標記和序列數(shù)字是否邏輯有序。當然它也象應用級網關一樣，可以在OSI應用層上檢查數(shù)據(jù)包的內容，查看這些內容是否能符合企業(yè)網絡的安全規(guī)則。

規(guī)則檢查防火墻雖然集成前三者的特點，但是不同于一個應用級網關的是，它并不打破客戶機/服務器模式來分析應用層的數(shù)據(jù)，它允許受信任的客戶機和不受信任的主機建立直接連接。規(guī)則檢查防火墻不依靠與應用層有關的代理，而是依靠某種算法來識別進出的應用層數(shù)據(jù)，這些算法通過已知合法數(shù)據(jù)包的模式來比較進出數(shù)據(jù)包，這樣從理論上就能比應用級代理在過濾數(shù)據(jù)包上更有效。

· 代理防火墻

代理防火墻充當通過Internet通信的內部和外部系統(tǒng)之間的中間設備。它通過轉發(fā)來自原始客戶端的請求并將其掩蓋為自己的網絡來保護網絡。代理的意思是充當替代者，因此，代理就發(fā)揮了作用。它代替了發(fā)送請求的客戶端。當客戶端發(fā)送訪問網頁的請求時，代理服務器將與該消息相交。代理將消息轉發(fā)到Web服務器，假裝是客戶端。這樣做可以隱藏客戶端的標識和地理位置，從而保護其不受任何限制和潛在的攻擊。然后，Web服務器做出響應，并將請求的信息提供給代理，該信息將傳遞給客戶端。

· 下一代防火墻

下一代防火墻是結合了許多其他防火墻功能的安全設備。它合并了數(shù)據(jù)包，狀態(tài)和深度數(shù)據(jù)包檢查。簡而言之，NGFW會檢查數(shù)據(jù)包的實際有效負載，而不是僅關注標頭信息。

與傳統(tǒng)防火墻不同，下一代防火墻檢查數(shù)據(jù)的整個事務，包括TCP握手，表面級別和深度包檢查。使用NGFW可以充分防御惡意軟件攻擊，外部威脅和入侵。這些設備非常靈活，并且沒有明確定義它們提供的功能。因此，請確保研究每個特定選項提供的內容。

· 云防火墻

云防火墻或防火墻即服務（Faas）是用于網絡保護的云解決方案。像其他云解決方案一樣，它由第三方供應商維護并在Internet上運行?？蛻舳送ǔ⒃品阑饓τ米鞔矸掌?，但是配置可以根據(jù)需求而變化。它們的主要優(yōu)點是可伸縮性。它們與物理資源無關，從而可以根據(jù)流量負載擴展防火墻容量。企業(yè)使用此解決方案來保護內部網絡或其他云基礎架構（Iaas / Paas）。

以上就是不同的防火墻對應的特點！想必閱讀過后你會對防火墻有更深的了解！

如果有防火墻的需求可以了解一下藍隊云web應用防火墻！藍隊云應用防火墻可以幫助客戶防范常見Web安全問題，比如拖庫、命令注入、敏感文件訪問等高危攻擊。用戶還可以設置開啟、停用內置信譽庫，防范惡意IP、惡意爬蟲掃描器等威脅！