EdgeMAX - 网络入门之防火墙介绍

目录

1. 防火墙介绍
2. 无状态与状态防火墙
3. 网关防火墙

防火墙介绍

防火墙是一套可以用来显示、追踪、控制网络流量的网络安全系统。在 WAN 上配置时，防火墙可以阻止恶意或是不良的网络流量。通常情况下，防火墙可以被用于入站、出站和本地（例如目标为防火墙本身时）的流量。虽然现在大多数设备都拥有了消费级的防火墙软件，但 IT 管理员们仍然应当为他们的企业宽带网络研究并采用一套有效的防火墙方案。

随着范围、复杂度和重要性的拓展，防火墙的发展在设计和执行方面都遵循了 OSI 模型的设计和层次。在我们没有实际配置网络防火墙之前，OSI 参考模型精心设计的第一层和第二层的网络拓扑能够降低网络所面临的风险。这通常是通过物理网络访问和 VLAN 来实现的。

专用的防火墙对于确保为所有主机提供安全、高性能的网络来说至关重要。 UniFi Security Gateway 默认位于 WAN 边界，具有保护 UniFi 站点的基本防火墙功能。

无状态防火墙和有状态防火墙

无状态防火墙是最早的防火墙，它通常根据 OSI 参考模型第 2、3、4层的信息来过滤数据包，比如源和目的地址。

随着网络硬件功耗与成本的提高，有状态防火墙最终作为追踪连接的过滤器而出现。它考虑到了 OSI 参考模型第2、3、4、还有7层的信息，以便进行基于应用程序的过滤。
无论是基于简单数据包标准进行过滤，还是基于高级跟踪要求，无状态和有状态防火墙现在都被广泛使用，并且在部署时间、地点和方式等方面也常常重叠。

网关防火墙

由于路由器（网关）在网络上的设计、功能和位置，它们非常适合被用来运行防火墙。当你配置一台路由器防火墙的时候，请考虑以下四项标准：

• 首先，网络防火墙的网络接口：
  • 比如，防火墙规则在受信任的企业 LAN、不受信任的访客 VLAN 和来自因特网的危险 WAN 口之间会有很大差异。
• 其次，流量是从哪里来的：
  • 是入口（入站），出口（出站）还是本地（防火墙设备）。
• 第三，是否在审查后丢弃，拒绝或接受流量，以及
• 最后，防火墙的定义规则：
  • 包括但不限于网络协议、数据源和目的地址、时间、连接状态，甚至应用程序。