5.2 防火墙的结构和原理
第一部分防火墙的核心定位 —— 网络边界的 “流量门卫”当数据从公网进入公司内网或从内网流向公网时防火墙Firewall是第一道也是最关键的关卡。它的本质是按照预设规则对进出网络的数据包进行 “放行 / 拦截” 判断只允许合法流量通过阻断恶意或未授权访问。防火墙的结构和原理防火墙的核心工作逻辑可以概括为“拆包检查 → 规则匹配 → 执行动作”所有功能都围绕 “包过滤” 这一核心能力展开。第二部分主流的包过滤方式包过滤是防火墙最基础的工作方式它会拆解数据包的头部信息根据五元组源 IP、目标 IP、源端口、目标端口、传输层协议进行匹配判断。核心过滤方式静态包过滤Packet Filtering工作在网络层 / 传输层仅检查数据包头部不关注应用层内容规则简单、处理速度快是最基础的过滤方式典型场景禁止外部 IP 访问公司内网的 3389 端口远程桌面。状态检测包过滤Stateful Inspection进阶版包过滤会记录连接状态如 TCP 三次握手、会话生命周期能识别 “已建立的连接”只放行属于合法会话的数据包优势比静态过滤更安全能避免伪造数据包绕过规则。应用层网关Application Level Gateway工作在应用层能解析 HTTP、FTP 等应用协议内容可做更精细的控制如禁止上传特定文件类型、拦截 SQL 注入语句劣势处理速度慢性能开销大仅用于高安全需求场景。第三部分包过滤规则的设置逻辑防火墙的规则是 “流量准入清单”每一条规则都定义了 “什么样的包可以通过”。如何设置包过滤的规则规则的核心结构是「匹配条件」 → 「执行动作」匹配条件基于五元组、连接方向、应用协议等执行动作允许Accept、拒绝Reject、丢弃Drop规则顺序防火墙会从上到下逐条匹配一旦匹配成功就执行动作不再继续检查后续规则。⚠️ 关键原则“默认拒绝Default Deny”—— 未被明确允许的流量一律拦截这是最安全的配置策略。通过端口号限定应用程序不同应用程序会使用固定或知名端口防火墙可通过端口号精准控制应用访问示例规则允许目标端口为80/443的TCP包通过放行 HTTP/HTTPS 网页访问示例规则拒绝目标端口为22的数据包从外部进入禁止外部 SSH 登录内网服务器本质用端口号区分 “我要访问网页” 和 “我要远程登录服务器” 两种不同行为。通过控制位判断连接方向TCP 协议的控制位Flags如 SYN、ACK、FIN能标识连接状态防火墙可借此判断连接方向SYN包代表发起新连接ACK包代表响应已建立的连接典型规则允许从内网发起的SYN包向外访问拒绝从外部发起的SYN包进入内网效果内网用户可以主动访问外网但外部攻击者无法主动发起连接入侵内网。第四部分公司网络的典型防火墙规则在公司场景中防火墙通常部署在内网 - 公网、内网 - 公开区域DMZ的边界规则设计围绕 “内网安全优先” 展开。从公司内网访问公开区域的规则公开区域DMZ是部署对外服务如 Web 服务器、邮件服务器的区域规则设计需兼顾 “内网可管理” 和 “服务可访问”允许内网 IP 访问 DMZ 的管理端口如 22、3389方便运维允许公网访问 DMZ 的服务端口如 80、443保证业务可用禁止 DMZ 主动访问内网任何端口防止服务器被攻陷后内网被横向渗透。从外部无法访问公司内网这是防火墙最核心的安全目标通过规则实现 “内网隐身”核心规则拒绝所有从外部发起的、目标为内网 IP 的数据包技术实现结合 NAT网络地址转换让内网设备对外隐藏真实 IP外部无法直接寻址效果外部攻击者无法扫描、连接内网设备从根源上阻断未授权访问。第五部分数据包如何通过防火墙以 “内网用户访问公网网页” 为例完整流程如下内网电脑发送SYN包目标为公网 Web 服务器的 80 端口防火墙收到数据包拆解头部信息源 IP内网 IP → 匹配 “内网发起访问” 规则目标端口80 → 匹配 “允许 HTTP 访问” 规则控制位SYN → 匹配 “允许内网主动发起连接” 规则防火墙执行允许动作转发数据包至公网公网服务器返回SYNACK响应包防火墙识别为 “已建立连接的响应包”放行回内网后续数据传输均属于该会话防火墙通过状态检测自动放行。第六部分防火墙无法抵御的攻击防火墙是重要的安全屏障但并非 “万能盾”它存在明显的能力边界1. 应用层攻击防火墙无法识别合法流量中的恶意内容比如包含 SQL 注入、XSS payload 的 HTTP 请求端口 80/443 是合法的伪装成正常业务的钓鱼链接、恶意文件下载应对需要搭配 WAFWeb 应用防火墙、入侵检测系统IDS。2. 绕过防火墙的攻击社会工程学通过钓鱼、木马让内网用户主动发起连接防火墙会误判为合法流量放行DNS 隧道 / HTTPS 隧道将恶意流量封装在 DNS 或 HTTPS 协议中绕过端口过滤规则物理入侵攻击者直接接入公司内网防火墙的边界防护完全失效。3. 分布式拒绝服务DDoS攻击防火墙无法抵御海量流量冲击大流量 DDoS 会直接耗尽防火墙带宽或算力导致合法流量也无法通过应对需要高防 IP、流量清洗中心等专业抗 DDoS 服务。第七部分核心结论 —— 防火墙的本质是 “规则的艺术”防火墙的本质是用规则定义 “信任边界”它信任 “内网发起的合法访问”不信任 “外部主动发起的连接”它信任 “知名端口的应用流量”警惕 “陌生端口的未知行为”它是网络安全的 “第一道门”但绝不是最后一道 —— 真正的安全需要防火墙、WAF、入侵检测、终端防护等多层防御体系共同构建。 想看后续全部章节 → 关注我不迷路。下一章我们将深入探索通过负载均衡分担流量带你看懂服务器之间如何高效、安全地通信。