下一代防火墙

防火墙作为内部网络与互联网之间的屏障，允许经用户“同意”的人和数据进入内部网络，同时将用户“不同意”的人和数据拒之门外，zui大限度地阻止网络中的黑客访问用户网络。

定义：

信息安全中所说的防火墙和建筑防火墙的作用类似，它部署在可信任的内网和不可信的互联网之间，来来往往的网络流量都要接受它的检查，相当于在我们要保护的内网周围筑起了竹篱笆，为我们提供了一道安全的“边界”。

防火墙是如何提供保护的：

网络中的数据包就像一封封信件，网络协议栈负责加装和拆解信封，信封可能会有很多层，网络层、传输层、数据链路层和物理层都要在原始内容外面加上自己的信封。

黑名单：防火墙可以形成一份黑名单，凡在黑名单中的一概拒绝，凡不在黑名单中的都允许通过。这样有利于可用性，但由于黑名单可能是不全面的，因此对安全性有一定影响。

白名单：防火墙也可以形成一份白名单，凡白名单中的都允许通过，否则拒绝通行。正所谓“一夫当关，万夫莫开”。这样虽然有利于安全性，但如果白名单不全面，会对可用性产生影响。

防火墙的其他功能：

防火墙还可以提供代理服务（proxy）和网络地址转换（nat,内网计算机连接外网计算机时，可以使用内网地址）功能。

防火墙的分类：

对于大型网络需要高端硬件防火墙，依靠专用芯片实现对数据包的过滤处理，这样可以保证较大的吞吐量，以及同时通过防火墙建立很多的并发连接。但硬件防火墙性能强，价格相对较贵，从几万元到几十万元都有。因此，购买和部署防火墙时一定要根据业务需要和预算合理选择，千万不要做任性的土豪，只买贵的，不选对的。

按层面：网络层防火墙、应用层防火墙、数据库防火墙。

按形态：硬件防火墙、软件防火墙。

—— e n d ——

文字来源：《漫画信息安全保密》