1.1.2 防火墙的作用

随着当今各行各业的信息化程度越来越高，因特网（Internet）也越来越流行和普及，万物互联的时代已经到来，人们当前几乎90%以上的工作都需要网络才能完成。伴随着网络的普及，网络安全的问题也愈发严峻。还有一个不得不面对的现实：目前大多数的系统基本上没有很完善的安全防护能力，都是在假定互相信任的基础上设计和制造的。在一个系统里，部署的安全防护模块太过分散且无法管理，每个系统的开发人员都不同，系统的防护能力也参差不齐，分散的安全架构协同抵御攻击的能力非常差，对系统管理员的网络运维能力提出了非常高的要求。此外，随着公司规模的扩大，网络的规模也在不断地扩大，这时候就需要一套精简的安全系统来降低网络的复杂度。防火墙可以解决上面提到的问题，因此防火墙在网络中就成了必不可少的设备。

通过防火墙的概念可以了解防火墙最基本的作用，就是内部网络和外部网络之间的一道屏障。图1-1所示为一个典型的防火墙部署在实际网络拓扑结构中的位置。在这个拓扑结构中，网络划分为3个区域：受信任区域、不受信任区域、非军事区（Demilitarized Zone，DMZ）。

防火墙在网络中的作用，主要体现在以下几个方面：

1.网络基础转发和网络地址转换

防火墙作为一台重要的安全设备的同时，也是一台网络设备。通常来讲，防火墙部署在网络的出口（出口防火墙），承担着内部用户访问外部网络和外部网络访问内部服务器资源（HTTP、FTP等）的任务。用户所有的业务流量都会流经防火墙，防火墙对外连接运营商的路由器，对内连接核心的交换机，起到至关重要的作用。在没有防火墙之前，这类工作往往由一台路由器承担，路由器上开启简单的访问控制（ACL）功能，但是路由器不具备抵御攻击的能力，因此最终被具备完备安全防护能力的防火墙所取代。

我们知道，内部用户想要上网会需要一个IP地址，通过IP地址才能解析域名和浏览网页，因为IPv4地址资源有限，大部分用户使用的都是私网IP（Private IP）地址，而私网地址在公网中是不可路由的，想访问公网的资源就需要转换为公网的出口IP地址，这时候就需要防火墙部署网络地址转换（Network Address Translation，NAT）功能来解决这个问题。

2.集中的安全防护，抵御各种威胁

防火墙的核心作用之一就是集中的安全防护，防火墙的防御能力高低主要体现在这里。在每一个操作系统中分别部署安全功能不现实，因为防火墙部署在可信网络和不可信网络的边界，因此在防火墙上部署安全防护功能就会事半功倍，就像一个国家的边界，集中部署各种防御机制，抵御外来的威胁。防火墙可以实现限制非法用户的访问，如木马蠕虫攻击、网络渗透、抵抗分布式拒绝服务（Distributed Denial of Service，DDoS）攻击、网络扫描。较新的下一代防火墙还支持防病毒、入侵防御、应用控制等功能。随着产品的演进，不同安全功能还可以联动，共同抵御威胁。

3.网络流量监控和审计

因为防火墙部署的位置使全部内外访问的流量都会流经防火墙，所以防火墙可以对所有流量进行监控，了解网络实际带宽的使用情况、应用的分布，记录下所有用户（IP）的访问痕迹，并通过日志和统计图表的方式进行展示，便于管理员随时进行分析和追溯。当防火墙检测到可疑行为时，会通过日志或短信等方式进行告警，管理员可根据攻击的详细监测信息，适当调整防火墙的安全级别和防护策略。如果内部有主机被入侵，也可以快速定位失陷主机地址（IP），并及时处理，避免威胁扩散。

4.安全策略，隔离和控制不同子网（Subnet）和区域（Area）间的互访

防火墙的基础功能就是访问控制，通过设置不同用户（IP）访问不同资源的安全策略，来实现访问权限控制和网络隔离的目的。默认所有的用户都是不允许通行的，只有防火墙开放的IP和端口才可以通过防火墙转发。这不仅限制了外部用户的非法入侵，也可以防止网络从内部被攻破，将内部主机作为跳板攻击内部服务器的例子很多，因此内部用户之间的互访也应被严格控制。防火墙还可以通过认证用户的方式来确定合法用户，并通过配置基于用户的安全策略来决定哪些用户可以使用内部的服务以及允许访问的网站。