18图详解防火墙和路由器、交换机的区别

前言

今天，给大家讲讲防火墙，防火墙和路由器、交换机一样都是网络中不可或缺的设备。

那么什么是防火墙呢？为什么需要防火墙呢？防火墙和路由器、交换机有什么区别呢？

为什么需要防火墙

如下图所示，内部网络和外部网络互访时，内部网络可能存在一些安全隐患，可能被攻击。

这个时候就需要在内部网络和外部网络之间有一个设备能够保护内网。那么这个设备就是防火墙。

防火墙能够实现如下业务述求；

（1）外部网络安全隔离；

（2）内部网络安全管控；

（3）内容安全过滤；

（4）入侵防御

（5）防病毒等

什么是防火墙

1、防火墙概念

防火墙就类似于我们家里的门，进出家里都需要经过门，门其实起到了一个安全保护的作用。

下面看下官方的定义:

防火墙是一种安全设备，保护一个网络区域免受另一个网络区域的攻击和入侵，通常被部署在网络边界，例如：企业互联网出口；

简单讲防火墙作为网络中的设备，它的作用也是对网络起到安全保护的作用，对进出网络的流量进量进行安全管理，保证内网的安全性。

2、防火墙分类

（1）按照硬件形态，防火墙可以分为盒式防火墙、框式防护墙；

（2）按照软硬件区分：防火墙可以分为软件防火墙和硬件防火墙；

（3）按照防火墙技术原理：防火墙可以分为包过滤防火墙、状态检测防火墙，AI防火墙；（后面章节会详细介绍这3种防火墙的区别。）

防火墙和交换机、路由器区别

如上图所示：

（1）交换机的作用是接入终端和汇聚内部路由，负责二三层报文的转，发构建一个内部的园区网络；

（2）路由器的作用是路由寻址和转发，构建外部连接网络。

（3）防火墙的作用是流量控制和安全防护，区分和隔离不同安全区域；

防护墙和路由器的转发流程对比

防火墙的转发流程比路由器要复杂：

以框式设备为例：

硬件上除了接口、LPU、交换网板的等外，还有防火墙特有的SPU，用于实现防火墙的安全功能。

SPU可以进行：

DDOS攻击防范；

匹配会话；

状态检测；

认证策略；

安全策略；

NAT策略；

等等

防火墙应用场景

1、企业边界防护

如下图所示，企业内网业务部署在trust区，服务器部署在DMZ。

（1）企业内网访问internet时经过防火墙，防火墙控制内外网流量，进行安全控制；

（2）外网用户访问服务器时经过防火墙，对内网服务器进行保护；

2、内网安全隔离

如下图所示：公司分为市场部、生产部，财经部，研发部，不同部分之间互访经过防火墙。通过防火墙进行安全控制。

3、数据中心边界防护

数据中心网络访问internet时，需要经过防火墙进行安全控制，对内网业务进行安全保护。

4、数据中心安全联动

数据中心网络一般采用Spine-Leaf架构。

Spine为骨干节点负责流量高速转发;

Leaf为叶子节点负责服务器、防火墙或其他设备接入。

Spine-Leaf之间全三层互联。

如下图所示，防火墙旁挂在数据中心核心spine，核心出Internet的流量重定向到防火墙进行安全控制。