防火墙是一种对网络访问行为进行控制的设备，核心是安全防护，通常部署在网络边界。

防火墙有两个重要概念：安全区域和安全策略。

安全区域：

防火墙认为网络可以通过安全区域来区分，它的每一个接口属于一个安全区域，一个安全区域可以包含多个接口。在同一安全区域内部发生的数据流动是不存在安全风险的，不需要实施安全策略，只有当不同安全区域之间发生数据流动时，才会触发安全检查，并实施相应的安全策略。

我们以企业网为例子说明，防火墙通常部署在网络的边界，企业网内部属于信任（trust）区域，外部网络属于非信任（untrust）区域，企业对外提供访问服务的服务器属于隔离区（dmz）。不同区域之间访问触发安全策略。

安全策略：

防火墙对进出网络的访问行为进行控制，保护特定网络免受“非信任”网络的攻击，但同时还必须放行其中的合法通信，这时我们就要用到安全策略。

安全策略是一系列匹配条件（五元组、用户、时间段等）和动作组成的控制规则。当防火墙收到流量后，通过安全策略对流量进行识别，并执行相应的动作，通常是放行或者拒绝。

防火墙默认拒绝所有流量通行，所以当我们想要放行某种流量时，我们要创建对应的安全策略。

简单来说防火墙就是路由器+专项安全服务，其主要功能就是区域隔离和访问控制。使用防火墙可以防范网络攻击，保护我们的网络，让网络更加安全。

扫码领取 相关技术视频教程

添加老师后发【布丁】 秒通过 领资料