網絡安全産品普及：什(shén)麽是(shα​←ì)防火(huǒ)牆？

随著(zhe)互聯網的(de)不(bù)斷發展，網絡安全問(wèn)題​&$越來(lái)越受到(dào)人(rén)們的(de)關注。在20★≈✔♦18年(nián)全球風(fēng)險報®§(bào)告中，網絡安全問(wèn)題排名前三，僅次于自(‌αzì)然災害與極端天氣事(shì)件(jiàn)，這(zhè)γ 足以說(shuō)明(míng)網絡安全的(de)重要(yào♠®)性，而防火(huǒ)牆則是(shì)網絡安全防護的(de)必 ↕↕備産品。“防火(huǒ)牆”這(z♥‍αhè)個(gè)詞可(kě)能(néng)εγ∑大(dà)家(jiā)都(dōu)聽(tīng)過但(dàn)不(bù)是★☆​♥(shì)特别熟悉，所以作(zuò)為(wèi)國"‌(guó)內(nèi)老(lǎo)牌安全廠(chǎng)商，墨者安全今天∏&‍給大(dà)家(jiā)詳細普及一(yī)下(xià)什(shén£∑¶≈)麽是(shì)防火(huǒ)牆？

1、防火(huǒ)牆基本定義：

防火(huǒ)牆指的(de)是(shì)一(yī)個α§Ω(gè)由軟件(jiàn)和(hé)硬件(jiàn)設備組合而成、在內δ☆(nèi)部網和(hé)外(wài)部網之間(jiān)、專用(yòngΩ‌↕$)網與公共網之間(jiān)的(de)界面上(shàng)構造的(‌•de)保護屏障.是(shì)一(yī)種獲取安✔σφ全性方法的(de)形象說(shuō)法，它是(shì)一(yī)種計(jì)算>€(suàn)機(jī)硬件(jiàn)和(hé∏")軟件(jiàn)的(de)結合，使安全域與安全域之間(jiān←₩∑σ)建立起一(yī)個(gè)安全網關。

2、防火(huǒ)牆功能(néng)：

路(lù)由功能(néng):靜(jìng)态路(lù)由、動态路(lù)由、★σφ策略路(lù)由、ISP路(lù)由等。

NAT功能(néng):将內(nèi)部網絡的(de)私有(yǒu)IP地(d÷↕₽Ωì)址轉換為(wèi)公有(yǒu)IP地(dì)址π±。

端口映射:就(jiù)是(shì)将外(wài)網主機(jī)的(de)IΩγP地(dì)址的(de)一(yī)個(gè)端口映射到(dào)內(nβ ↕èi)網中一(yī)台機(jī)器(qì)，提供'☆®相(xiàng)應的(de)服務。當用(yòng)戶β φ♣訪問(wèn)該IP的(de)這(zhè)個(gè)端口時(shí)，自(zìλ<)動将請(qǐng)求映射到(dào)對(≈πβγduì)應局域網內(nèi)部的(de)機(jī)器(qì¶↔α↓)上(shàng)。

安全策略:通(tōng)過對(duì)源地(dì)址、目的(de)地♣•(dì)址、服務、時(shí)間(jiān)、允許/阻止等內(☆×nèi)容進行(xíng)配置做(zuò)相(xiàng)關安全訪問(wèn∑©♦)策略。

帶寬管理(lǐ):流控功能(néng)（簡單的(de)用(yòng)用(yò÷γΩ₩ng)還(hái)行(xíng)，要(yào)像管理(lǐ)效果好(hǎ✘©★≥o)，還(hái)是(shì)要(yào)使用(yòng)專門(mén)的(←★ ₽de)流控設備）

會(huì)話(huà)管理(lǐ):對(duì)♦✘λ±通(tōng)過防火(huǒ)牆設備會(huì)話(huà)經行(xín∏§€☆g)統計(jì)、分(fēn)析、控制(zhì)等   &™∞♥↕nbsp;  

VPN功能(néng): IPSEC VPN 、SSL VPN、PPTPδ< 、L2TP 、GRE等

其他(tā)功能(néng): 病毒防護、入侵防護、漏洞掃描、上(shàn> g)網行(xíng)為(wèi)管理(lǐ)。♦‌§₽

以上(shàng)功能(néng)根據廠(chǎng)家(jiā)不♠©↕(bù)同功能(néng)模塊也(yě)會(huì)≥ 有(yǒu)所不(bù)同，請(qǐng)根據實際情況選擇。¶ π現(xiàn)在防火(huǒ)牆已具備所有(yǒu)路(lù)由器(qì↑ )功能(néng)，所以很(hěn)多(duō)時(₽≤♣shí)候可(kě)以用(yòng)防火(huǒ)牆直接替換路(l≤₹ù)由器(qì)，新建網絡直接用(yòng)防火(huǒ)牆做(γ§>λzuò)出口。

3、防火(huǒ)牆部署：

路(lù)由模式：多(duō)用(yòng)于出口部署配置N✘&↑AT、路(lù)由、端口映射。此模式下(xià)防火(huǒ)牆所有(y≈≠γ↕ǒu)功能(néng)均可(kě)以正常使₹♦用(yòng)。

透明(míng)模式：多(duō)用(yòng)于串連與網絡中，對(d∑& ↓uì)兩個(gè)不(bù)通(tōng)安全域•☆做(zuò)邊界防護。此模式下(xià)端口映射功能(≤₩≤₹néng)、NAT功能(néng)、VPN功能(néng)無法使用(yòng$∑δ )。

旁路(lù)模式：使用(yòng)場(chǎng)景較少(shǎo)，&≠♣€代替VPN設備使用(yòng)時(shí)旁路(lù)部署 ↕

路(lù)由模式與透明(míng)模式，部署場(chǎng)" ‍景也(yě)需要(yào)根據實際情況來(lái)選擇，路(lù)由模₩σσα式需要(yào)對(duì)網絡進行(xíng)改動，透♦© $明(míng)模式對(duì)當前網絡無需進'±÷行(xíng)改動，透明(míng)模式下(xià)部分(fēσ‌n)功能(néng)無法使用(yòng)。&nb‍βsp;

4、防火(huǒ)牆雙機(jī)熱(rè)備: 主主、主備

5、防火(huǒ)牆參數(shù)：

設備吞吐量：設備傳輸數(shù)據量，對(duì)應到(dào)具體(tǐ)設÷•備選型時(shí)關注的(de)參數(shù)為(wèi)帶寬

設備并發連接數(shù)：能(néng)•☆₩夠同時(shí)處理(lǐ)的(de)點對(duì)點連接的(de)最大(dàφ&)數(shù)目，對(duì)應到(dào)具體(tǐ<€γ¶)設備選型時(shí)關注的(de)參數(shù)σδ為(wèi)同時(shí)在線人(rén)數(shù)∑↕®©

設備新建連接數(shù)：防火(huǒ)牆一€↕&'(yī)秒(miǎo)內(nèi)創建的(de)連接數(shù)

設備接口: 設備配備的(de)電(diàn)₹↑​口、光(guāng)口、等物(wù)理(lǐ)接口

設備選型方面，沒有(yǒu)特殊要(yào)求≈× ，設備接口數(shù)都(dōu)可(kě)以滿足需要(yào)，如(α₹>rú)果有(yǒu)特殊需要(yào)購(gòu)買前需要(yào)提前溝通(★ αλtōng)、主要(yào)關注設備吞吐量與并發連接數(shù)兩個δ"φ(gè)參數(shù)，選擇時(shí)需要(yà♦¶o)考慮以後網絡擴容，避免重複購(gòu♦✘)買。

6、防火(huǒ)牆應用(yòng)場(chǎng)♦≥↔景:

出口網關:比較常見(jiàn)的(de)使用(yòng)場(chǎng)景£✘∏，使用(yòng)防火(huǒ)牆在互聯網出口處，提供★£ε®NAT、路(lù)由、端口映射等功能(néng)。

安全域邊界防護:專網或大(dà)型網絡內σ☆✘(nèi)對(duì)各個(gè)不(bù)同安✔$≤‌全域進行(xíng)隔離(lí)防護。

IPSEC VPN:兩台或兩台設備之間(jiān)使用(yπ∞↕òng)IPSEC VPN進行(xíng)互聯，多(du£≥‌✘ō)用(yòng)于總部與分(fēn)支網絡Ω÷使用(yòng)。

通(tōng)過上(shàng)面詳細的(de)介紹，希望可(→₹kě)以幫助大(dà)家(jiā)更清楚的(de)了(le)解到(dào)♣∞<了(le)網絡防火(huǒ)牆的(de)一(yī)些(xiē)基本知(zhī)識。目前國(guó)內λ®₹ (nèi)的(de)安全防火(huǒ)牆廠(c"∏•hǎng)商魚龍混雜(zá)，企業(yè)在選擇φγ¥δ時(shí)不(bù)要(yào)隻看(kàn)價格，很(σ>δ​hěn)多(duō)防火(huǒ)牆價格的(de)确✘★很(hěn)低(dī)但(dàn)根本沒有(yǒu∑​)什(shén)麽防護能(néng)力，要(yào)多(duπ§ō)維度對(duì)比，選擇性價比最高(gāo)最适合自(z•≤✘☆ì)己的(de)安全防火(huǒ)牆。