引言

1 概述

防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题，其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。

2 策略和规则

防火墙，其实说白了讲，就是用于实现Linux下访问控制的功能的，它分为硬件的或者软件的防火墙两种。无论是在哪个网络中，防火墙工作的地方一定是在网络的边缘。而我们的任务就是需要去定义到底防火墙如何工作。

「策略」

定义到底防火墙如何工作。

「规则」

对出入网络的IP、数据进行检测。

3 七层模型

七层模型，亦称OSI（Open System Interconnection）。参考模型是国际标准化组织（ISO）制定的一个用于计算机或通信系统间互联的标准体系，一般称为OSI参考模型或七层模型。

3.1 应用层

「描述」

网络服务与最终用户的一个接口。

「协议」

HTTP FTP TFTP SMTP SNMP DNS TELNET HTTPS POP3 DHCP

3.2 表示层

「描述」

数据的表示、安全、压缩。（在五层模型里面已经合并到了应用层）

「格式」

JPEG、ASCll、EBCDIC、加密格式等

3.3 会话层

「描述」

建立、管理、终止会话。（在五层模型里面已经合并到了应用层）

对应主机进程，指本地主机与远程主机正在进行的会话

3.4 传输层

「描述」

定义传输数据的协议端口号，以及流控和差错校验。

「协议」

TCP UDP，数据包一旦离开网卡即进入网络传输层

3.5 网络层

「描述」

进行逻辑地址寻址，实现不同网络之间的路径选择。

「协议」

ICMP IGMP IP（IPV4 IPV6）

3.6 数据链路层

「描述」

建立逻辑连接、进行硬件地址寻址、差错校验 [3] 等功能。（由底层网络定义协议）

将比特组合成字节进而组合成帧，用MAC地址访问介质，错误发现但不能纠正。

3.7 物理层

「描述」

建立、维护、断开物理连接。（由底层网络定义协议）

4 现状

目前市面上比较常见的有3、4层的防火墙。一般的防火墙只能做到3-4层的保护，也叫做网络层的防火墙，对于5-7层的应用保护很一般，保护正式IDS和IPS的长处。还有7层的防火墙，其实是代理层的网关。

对于TCP/IP的七层模型来讲，我们知道第三层是网络层，三层的防火墙会在这层对源地址和目标地址进行检测。但是对于七层的防火墙，不管你源端口或者目标端口，源地址或者目标地址是什么，都将对你所有的东西进行检查。所以，对于设计原理来讲，七层防火墙更加安全，但是这却带来了效率更低。所以市面上通常的防火墙方案，都是两者结合的。而又由于我们都需要从防火墙所控制的这个口来访问，所以防火墙的工作效率就成了用户能够访问数据多少的一个最重要的控制，配置的不好甚至有可能成为流量的瓶颈。