防火墙

什么是防火墙

防火墙 (Firewall) 是一种监控网络间流量并根据预定义规则控制通信允许或拒绝的安全机制。名称源自建筑术语"防火墙"，用于阻止来自外部网络 (互联网) 的未授权访问。

家用路由器也内置了基本的防火墙功能。结合 NAT，可以隐藏内部网络设备，防止外部直接访问。企业级防火墙提供更高级的功能，如应用层检测和入侵检测。

防火墙的类型与机制

• 包过滤：最简单的方式，检查每个数据包的源 IP、目标 IP、端口号和协议是否符合规则。速度快，但由于只检查单个数据包，可能遗漏复杂攻击。
• 状态检测：跟踪通信会话状态 (连接建立、数据传输、终止)，根据上下文做出判断。能检测并阻止不属于合法会话的数据包。现代防火墙的主流方式。
• 应用层网关 (代理)：在应用层 (L7) 运行，检查 HTTP、FTP 等协议的内容。可实现 URL 过滤和内容检查等精细控制，但会增加处理开销。
• 下一代防火墙 (NGFW)：集成传统防火墙功能与 IPS (入侵防御系统)、应用识别和基于用户的控制。可识别和控制特定应用 (例如允许 YouTube 但阻止文件上传)。

防火墙配置原则

防火墙的效果很大程度上取决于配置质量。以下原则至关重要。

• 默认拒绝 (Default Deny)：默认拒绝所有流量，仅明确允许必要的通信。"默认允许"策略意味着任何配置疏忽都会立即成为安全漏洞。
• 最小权限原则：仅允许最少必要的端口和协议。例如，Web 服务器只需开放 80 (HTTP) 和 443 (HTTPS) 端口。
• 日志与监控：记录被拒绝的流量并定期审查。异常模式可能表明攻击尝试或配置错误。
• 规则审查：定期审计防火墙规则，删除不再需要的规则。累积的过时规则会扩大攻击面。

防火墙的局限性与零信任

传统防火墙基于"边界防御"理念 - - 信任内部网络，阻止外部入侵。但这一前提存在局限性。

• 对内部威胁无力：一旦攻击者突破内部网络，防火墙就无能为力。无法防止内部威胁或横向移动。
• 远程办公挑战：员工从家中或外出时访问资源，网络边界已经消失。仅依赖 VPN 会造成瓶颈和管理复杂性。
• 云迁移：随着系统迁移到云端，传统的"内外之分"变得毫无意义。需要云原生安全组和 WAF。

零信任模型通过对每次访问请求进行验证来解决这些局限性，无论网络位置如何。遵循"永不信任，始终验证"的原则，对每次访问尝试都进行用户和设备的认证与授权。

常见误解

有了防火墙就不会被黑客攻击

防火墙是网络层防御。无法防止钓鱼邮件点击、Web 应用漏洞或内部威胁。应将其定位为纵深防御策略的一个环节。

防火墙配置一次就可以不管了

随着网络配置变更、新服务引入和威胁变化，需要定期审查规则。放置过时规则会扩大攻击面。

防火墙与 WAF 对比

相关术语