防火墙具有哪些特征？

守护 IT 设施安全的门与锁。

1、网络保护屏障，功能逐渐丰富

防火墙是内部网络与外部网络之间、专用网络和公共网络之间的一道保护屏障。 作为目前使用最为广泛的网络安全防护技术，防火墙是解决网络隔离与连通矛盾 的一种较好的方案，在网络环境下构筑内部网和外部网之间保护层。尽管防火墙 是网络安全产品中最为基础和基石的部分，但随着 IT 基础设施的不断升级和迭代， 防火墙的功能与产品也随之演化，并继续作为整个网络安全的重要组成部分而存 在。因此，研究防火墙对于研究网络安全板块，具有十分重要的意义，本篇报告 将聚焦防火墙，进行深度分析。

防火墙最基础的功能是隔离和访问控制。隔离功能是在不同信任级别的网络之间 “砌墙”，访问控制功能是在墙上开门并派驻“守卫”。防火墙通过隔离来过滤不 安全的服务、降低风险、提高内网安全性；访问控制能将口令、加密、身份认证 等安全软件配置在防火墙上，实现集中安全管理。防火墙从安全管理的角度出发， 一般将设备划分为不受信区域、受信区域、DMZ 区域，例如电子邮件服务器接在 DMZ 区域来接受内外部的访问，实现网络隔离和访问控制。

基础功能之外，防火墙其他功能也快速发展。除了提供基础组网和防护功能之外， 防火墙还可以记录和监控网络存取访问，收集关于系统和网络使用和误用的信息 并做出日志记录；实现网络中网段隔离，防止影响一个网段问题通过整个网络传 播；并作为部署 NAT（Network Address Translation，网络地址转换）逻辑地址来 缓解地址空间短缺问题；同时，支持通过 VPN（Virtual Private Network，虚拟专 用网络）将世界各地局域网或专用子网有机联成一个整体。

防火墙部署位置灵活。在企业中，可以部署在公用互联网与企业局域网之间，防 止外部恶意流量入侵盗取数据和私密信息；也可以部署在内部网络与数据中心之 间，防止核心数据从内部泄露出来。如果企业规模较大，拥有分支机构，也可以 将防火墙部署在各分支机构之间，防止不必要的数据流通，以及阻止恶意流量从 某个局域网扩散出去。企业云数据中心同样需要部署防火墙，用以应对专门针对 云服务的外部流量攻击。

2、分类形式多元，应用场景广阔

从软硬件形式分类，防火墙可以分为软件防火墙、硬件防火墙和芯片级防火墙。 软件防火墙将软件部署在系统主机上，使用便捷、价格便宜，广泛应用于个人 PC 中；硬件防火墙由防火墙软件和运行该软件的特定计算机构成，把防火墙程序做 到硬件里执行防护功能，能减少 CPU 的负担，使路由更稳定；芯片级防火墙基于 专门的硬件平台，使用专用的嵌入式实时操作系统，并使用专有 ASIC 芯片进行 运算，速度更快，处理能力更强，性能更高。

从过滤层次分类，防火墙可以分为包过滤防火墙、电路级网关防火墙、应用层网 关防火墙。包过滤防火墙在 OSI 的网络层和传输层，会查看所流经的数据包的包 头，根据源地址、目标地址、端口号等标志确定是否允许数据包通过，具有原理 简单，运行速度快的特点；电路级网关防火墙在 OSI 的会话层，用于监控主机间 的 TCP 握手信息，以此决定该会话是否合法，较包过滤防火墙更为安全；应用层 网关防火墙工作在 OSI 的应用层，与用户距离最近，安全性最为可靠。

从应用部署位置分类，防火墙可以分为边界防火墙、个人防火墙、混合式防火墙。 边界防火墙运行于内外部网络之间，对内部网络和外部网络实施隔离，保护内部网络，有效将有害信息隔绝在主机之外；个人防火墙应用于个人用户和企业内部 的主机，通常为软件防火墙，成本较低且更为灵活；混合式防火墙则综合了以上 二者的优点，分布于内部网络和外部网络的边界、内部网络各主机之间，性能和 安全性更好，由若干软硬件组件组成，复杂性也更高。

在实际应用中往往使用不止一种防火墙类型。在个人及小型服务器使用中，防护 目标主要是外部入侵，一般选择软件防火墙即可。而在企业级服务器使用中，不 但要降低外部威胁，还要进行数据中心之间的访问控制、隐私加密、流量监控等， 因此需要在网络层、传输层、会话层、应用层等各个网络层级中，综合使用多种 防火墙产品，并在软件端和硬件端都进行部署，确保核心信息和数据安全。

企业级防火墙通常价格较高。个人防火墙一般为软件形式，功能较少，只需要满 足普通用户日常需求，通常价格较低，例如 McAfee 防病毒+防火墙组合套装 1 用 户 1 年约 89 元，卡巴斯基 2021 安全软件 1 用户 1 年约 110 元；而企业级防火墙 一般为硬件或软硬结合形式，技术难度大，应对的安全威胁多，通常价格较高， 例如华为 USG6305E-AC 硬件防火墙价格约 10999 元，友讯 F100-A-G5 应用层网 关防火墙约 19999 元。

防火墙应用场景十分广阔。在 to c 端，防火墙可以进行异常流量检测，防止黑客 入侵及数据泄露，有效保护用户资产信息安全。在 to b 端，防火墙产品功能更为 复杂和立体，守护企业数据安全、运维安全和信息安全，是网络安全的重要一环。 而随着云计算与企业运营的深度结合，防火墙也发展了云安全技术，聚合更多安 全能力，在云上保护着企业数据和个人用户数据的安全，筑牢当下企业运营的安 全基础。

根据应用场景不同，往往将防火墙市场划为不同子市场。单一防火墙产品不能覆 盖所有客户需求，例如对于企业级防火墙市场，防火墙被划分为政企市场、金融 市场、运营商市场、数据中心市场、SMB 市场等，由于每个子市场的客户行业属 性存在差异，防火墙产品将存在不同的特性区别。随着客户需求升级、厂商间的 横向竞争，大多防火墙产品都从原来标准化、同质化的状态向精准匹配客户场景、 差异化方向发展。未来定位清晰、特征鲜明、能精准匹配不同业务需求的专用型 防火墙将更受到客户青睐。