近年来，越来越多的人使用互联网进行交易，网络安全也越来越受到重视。在2018年全球风险报告中，网络安全问题位列前三，仅次于自然灾害和极端天气事件，足以说明网络安全的重要性，而防火墙是网络安全防护的必备产品。“防火墙”这个词可能大家都听说过，但并不是特别熟悉。今天我给大家详细介绍一下什么是防火墙。

1、防火墙基本定义：

防火墙是指构建在内网与外网、专网与公网的接口上，由软件和硬件设备组成的保护屏障。它是获得安全的形象表述，是计算机硬件和软件的结合，使得安全域之间建立了一个安全网关。

2、防火墙功能：

路由功能：静态路由、动态路由、策略路由、ISP路由等。

NAT功能：将内部网络的私有IP地址转换为公共IP地址。

端口映射：是将外网主机的IP地址的一个端口映射到内网的一台机器上，提供相应的服务。当用户访问IP的这个端口时，请求被自动映射到相应局域网中的机器。

安全策略：通过配置源地址、目的地址、服务、时间、许可/阻止等，制定相关的安全访问策略。

带宽管理3360流量控制功能(简单使用就可以了，如果管理效果好，还是用专门的流量控制设备)

会话管理：执行统计、分析、控制等。通过防火墙设备的会话。

VPN功能： IPSEC VPN，SSL VPN，PPTP，L2TP，GRE等。

其他功能：病毒防护、入侵防护、漏洞扫描、在线行为管理。

以上功能会根据厂商不同的功能模块有所不同，请根据实际情况选择。现在防火墙具备了路由器的所有功能，所以很多情况下，路由器可以直接被防火墙替代，新的网络可以直接被防火墙导出。

3、防火墙部署：

路由模式：主要用于配置导出部署的NAT、路由和端口映射。在这种模式下，防火墙的所有功能都可以正常使用。

透明模式：多用于串联和网络，保护两个不可访问的安全域之间的边界。端口映射功能、NAT功能和VPN功能不能在此模式下使用。

Bypass模式：使用场景较少，替代了使用VPN设备时的bypass部署。

路由模式和透明模式，部署场景也需要根据实际情况选择，路由模式需要改变网络，透明模式不需要改变当前网络，透明模式下的部分功能无法使用。

4、防火墙双机热备： 主主、主备

在传统网络中，仅在出口部署一个防火墙。当防火墙失效时，内网中所有以防火墙为默认网关的主机与外网的通信中断，通信可靠性无法保证。

双机热备技术的出现，改变了可靠性难以保证的尴尬状态。通过在网络出口部署两个或两个以上的网关设备，保证了内部网络和外部网络之间的顺畅通信。

防火墙作为一种安全设备，一般部署在需要保护的网络和未受保护的网络之间，即业务接口点。在这个业务点上，如果只使用一个防火墙设备，无论它有多可靠，系统都可能承担因单点故障导致网络中断的风险。为了防止网络业务因一台设备意外故障而中断，可以使用两台防火墙组成双机备份。

5、防火墙参数：

设备吞吐量：设备传输的数据量，选择具体设备时考虑的参数是带宽。

设备并发连接数：可以同时处理的最大点对点连接数，选择具体设备时关注的参数是同时在线的人数。

设备的新连接数：防火墙在一秒钟内创建的连接数。

设备接口：设备配备的物理接口，如电端口、光端口等。

在设备选型方面，没有特殊要求，设备接口数量可以满足

出口网关：是一种常见的使用场景，它使用防火墙在互联网的出口处提供NAT、路由、端口映射等功能。

安全域边界保护：在私有网络或大型网络中分离和保护不同的安全域。

IPSEC VPN:两个或两个设备通过IPSEC VPN互联，多用于总部和分公司网络。

通过以上详细的介绍，希望可以帮助你更清楚的了解一些网络防火墙的基础知识。目前，国内安全防火墙厂商鱼龙混杂。企业在选择时不要只看价格。很多防火墙价格真的很低但是完全没有防护能力。我们应该从多个维度进行比较，选择最适合自己的性价比最高的安全防火墙。