5.2 防火墙的结构和原理

第一部分：防火墙的核心定位 —— 网络边界的 “流量门卫”

当数据从公网进入公司内网，或从内网流向公网时，防火墙（Firewall）是第一道也是最关键的关卡。它的本质是：按照预设规则，对进出网络的数据包进行 “放行 / 拦截” 判断，只允许合法流量通过，阻断恶意或未授权访问。

防火墙的结构和原理

防火墙的核心工作逻辑可以概括为：“拆包检查 → 规则匹配 → 执行动作”，所有功能都围绕 “包过滤” 这一核心能力展开。

第二部分：主流的包过滤方式

包过滤是防火墙最基础的工作方式，它会拆解数据包的头部信息，根据五元组（源 IP、目标 IP、源端口、目标端口、传输层协议）进行匹配判断。

核心过滤方式

1. 静态包过滤（Packet Filtering）

   • 工作在网络层 / 传输层，仅检查数据包头部，不关注应用层内容；
   • 规则简单、处理速度快，是最基础的过滤方式；
   • 典型场景：禁止外部 IP 访问公司内网的 3389 端口（远程桌面）。

2. 状态检测包过滤（Stateful Inspection）

   • 进阶版包过滤，会记录连接状态（如 TCP 三次握手、会话生命周期）；
   • 能识别 “已建立的连接”，只放行属于合法会话的数据包；
   • 优势：比静态过滤更安全，能避免伪造数据包绕过规则。

3. 应用层网关（Application Level Gateway）

   • 工作在应用层，能解析 HTTP、FTP 等应用协议内容；
   • 可做更精细的控制（如禁止上传特定文件类型、拦截 SQL 注入语句）；
   • 劣势：处理速度慢，性能开销大，仅用于高安全需求场景。

第三部分：包过滤规则的设置逻辑

防火墙的规则是 “流量准入清单”，每一条规则都定义了 “什么样的包可以通过”。

如何设置包过滤的规则

规则的核心结构是：「匹配条件」 → 「执行动作」

• 匹配条件：基于五元组、连接方向、应用协议等；
• 执行动作：允许（Accept）、拒绝（Reject）、丢弃（Drop）；
• 规则顺序：防火墙会从上到下逐条匹配，一旦匹配成功就执行动作，不再继续检查后续规则。

⚠️ 关键原则：“默认拒绝（Default Deny）”—— 未被明确允许的流量，一律拦截，这是最安全的配置策略。

通过端口号限定应用程序

不同应用程序会使用固定或知名端口，防火墙可通过端口号精准控制应用访问：

• 示例规则：允许目标端口为80/443的TCP包通过（放行 HTTP/HTTPS 网页访问）；
• 示例规则：拒绝目标端口为22的数据包从外部进入（禁止外部 SSH 登录内网服务器）；
• 本质：用端口号区分 “我要访问网页” 和 “我要远程登录服务器” 两种不同行为。

通过控制位判断连接方向

TCP 协议的控制位（Flags）（如 SYN、ACK、FIN）能标识连接状态，防火墙可借此判断连接方向：

• SYN包：代表发起新连接；
• ACK包：代表响应已建立的连接；
• 典型规则：允许从内网发起的SYN包向外访问，拒绝从外部发起的SYN包进入内网；
• 效果：内网用户可以主动访问外网，但外部攻击者无法主动发起连接入侵内网。

第四部分：公司网络的典型防火墙规则

在公司场景中，防火墙通常部署在内网 - 公网、内网 - 公开区域（DMZ）的边界，规则设计围绕 “内网安全优先” 展开。

从公司内网访问公开区域的规则

公开区域（DMZ）是部署对外服务（如 Web 服务器、邮件服务器）的区域，规则设计需兼顾 “内网可管理” 和 “服务可访问”：

• 允许内网 IP 访问 DMZ 的管理端口（如 22、3389），方便运维；
• 允许公网访问 DMZ 的服务端口（如 80、443），保证业务可用；
• 禁止 DMZ 主动访问内网任何端口，防止服务器被攻陷后内网被横向渗透。

从外部无法访问公司内网

这是防火墙最核心的安全目标，通过规则实现 “内网隐身”：

• 核心规则：拒绝所有从外部发起的、目标为内网 IP 的数据包；
• 技术实现：结合 NAT（网络地址转换），让内网设备对外隐藏真实 IP，外部无法直接寻址；
• 效果：外部攻击者无法扫描、连接内网设备，从根源上阻断未授权访问。

第五部分：数据包如何通过防火墙

以 “内网用户访问公网网页” 为例，完整流程如下：

1. 内网电脑发送SYN包，目标为公网 Web 服务器的 80 端口；
2. 防火墙收到数据包，拆解头部信息：
   • 源 IP：内网 IP → 匹配 “内网发起访问” 规则；
   • 目标端口：80 → 匹配 “允许 HTTP 访问” 规则；
   • 控制位：SYN → 匹配 “允许内网主动发起连接” 规则；
3. 防火墙执行允许动作，转发数据包至公网；
4. 公网服务器返回SYN+ACK响应包，防火墙识别为 “已建立连接的响应包”，放行回内网；
5. 后续数据传输均属于该会话，防火墙通过状态检测自动放行。

第六部分：防火墙无法抵御的攻击

防火墙是重要的安全屏障，但并非 “万能盾”，它存在明显的能力边界：

1. 应用层攻击

• 防火墙无法识别合法流量中的恶意内容，比如：
  • 包含 SQL 注入、XSS payload 的 HTTP 请求（端口 80/443 是合法的）；
  • 伪装成正常业务的钓鱼链接、恶意文件下载；
• 应对：需要搭配 WAF（Web 应用防火墙）、入侵检测系统（IDS）。

2. 绕过防火墙的攻击

• 社会工程学：通过钓鱼、木马让内网用户主动发起连接，防火墙会误判为合法流量放行；
• DNS 隧道 / HTTPS 隧道：将恶意流量封装在 DNS 或 HTTPS 协议中，绕过端口过滤规则；
• 物理入侵：攻击者直接接入公司内网，防火墙的边界防护完全失效。

3. 分布式拒绝服务（DDoS）攻击

• 防火墙无法抵御海量流量冲击，大流量 DDoS 会直接耗尽防火墙带宽或算力，导致合法流量也无法通过；
• 应对：需要高防 IP、流量清洗中心等专业抗 DDoS 服务。

第七部分：核心结论 —— 防火墙的本质是 “规则的艺术”

防火墙的本质，是用规则定义 “信任边界”：

• 它信任 “内网发起的合法访问”，不信任 “外部主动发起的连接”；
• 它信任 “知名端口的应用流量”，警惕 “陌生端口的未知行为”；
• 它是网络安全的 “第一道门”，但绝不是最后一道 —— 真正的安全需要防火墙、WAF、入侵检测、终端防护等多层防御体系共同构建。

💡 想看后续全部章节 → 关注我，不迷路。下一章我们将深入探索：通过负载均衡分担流量，带你看懂服务器之间如何高效、安全地通信。