直白告诉你,防火墙到底是干啥的

原创 已于 2025-10-27 11:55:24 修改 · 688 阅读 · 8 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络 #华为认证 #网络工程师 #华为 #php

于 2025-10-27 11:50:47 首次发布

号主:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

“防火墙就是拦外网的?” “开了防火墙,内网也上不了网?” “为什么我配了策略,还是被攻击?”

在企业网络中,防火墙(Firewall) 是第一道安全屏障。

但它不是简单的“开关”,而是一个功能复杂的“智能守门人”。

很多工程师对防火墙的理解仍停留在“拦外网”,导致配置错误、策略失效,甚至引发业务中断。

今天用 最直白的语言,讲清防火墙的 5种核心功能,帮你真正掌握这个“网络安全大脑”。

功能1:访问控制(ACL)—— 最基本的“门禁系统”

是什么?

根据预设规则,决定数据包是否允许通过。

核心三要素:

配置示例(华为USG):

# 允许内网访问外网HTTP [USG] security-policy [USG-policy-security] rule name ALLOW_HTTP [USG-policy-security-rule-ALLOW_HTTP] source-zone trust [USG-policy-security-rule-ALLOW_HTTP] destination-zone untrust [USG-policy-security-rule-ALLOW_HTTP] destination-address 202.98.0.1 32 [USG-policy-security-rule-ALLOW_HTTP] service http [USG-policy-security-rule-ALLOW_HTTP] action permit

🔺 关键点: 默认策略是“拒绝所有”,必须显式允许。

功能2:NAT(网络地址转换)—— 让私网IP上公网

是什么?

将私有IP地址(如192.168.x.x)转换为公网IP,实现上网。

为什么需要?

  • IPv4地址不足

  • 隐藏内网结构,增强安全

常见类型:

SNAT 示例:

# 内网192.168.1.0/24通过防火墙公网IP上网 [USG] nat-policy [USG-nat-policy] rule name SNAT-TO-INTERNET [USG-nat-policy-rule-SNAT-TO-INTERNET] source-zone trust [USG-nat-policy-rule-SNAT-TO-INTERNET] destination-zone untrust [USG-nat-policy-rule-SNAT-TO-INTERNET] source-address 192.168.1.0 24 [USG-nat-policy-rule-SNAT-TO-INTERNET] action nat easy-ip

功能3:状态检测(Stateful Inspection)—— 记住“谁先发起的”

是什么?

不仅看单个数据包,还跟踪整个连接状态。

传统ACL vs 状态检测:

优势:

  • 更安全:只放行“已知连接”的返回流量

  • 更高效:无需为返回流量写大量规则

✅ 现代防火墙默认启用状态检测。

功能4:应用识别与控制(Application Control)

是什么?

识别QQ、微信、视频、P2P等具体应用,而不仅是端口。

为什么需要?

  • 很多应用使用随机端口或HTTPS(443)

  • 传统基于端口的ACL无法有效控制

工作原理:

  • 深度包检测(DPI)

  • 协议特征识别

  • 行为分析

配置示例:

# 禁止上班时间使用视频网站 [USG] time-range WORKTIME [USG-time-range-WORKTIME] period-range 09:00 to 18:00 working-day [USG] policy interzone trust untrust outbound [USG-policy-interzone-trust-untrust-outbound] policy 2 [USG-policy-interzone-trust-untrust-outbound-2] policy source 192.168.1.0 0.0.0.255 [USG-policy-interzone-trust-untrust-outbound-2] time-range WORKTIME [USG-policy-interzone-trust-untrust-outbound-2] application video [USG-policy-interzone-trust-untrust-outbound-2] action deny

功能5:入侵防御(IPS)与防病毒(AV)

是什么?

主动检测并阻断恶意流量,如:

  • SQL注入

  • 溢出攻击

  • 勒索病毒

  • 恶意软件下载

工作方式:

  • 基于特征库(Signature)

  • 实时更新(需License)

  • 深度检测应用层数据

优势:

  • 从“允许/拒绝”升级到“智能防御”

  • 可防御0day攻击(部分高级防火墙)

🔺 注意: IPS/AV功能通常需要额外授权,且影响性能。

附:防火墙区域(Zone)概念

防火墙将网络划分为不同安全区域,策略在区域间生效:

策略方向: trust → untrust:内网访问外网 untrust → dmz:外网访问服务器(需严格控制)

总结:防火墙的5大核心功能

🔚 最后忠告: 防火墙不是“配完就忘”的设备。 定期审查策略、更新特征库、监控日志,才能让这道“安全门”,真正守护你的网络。

原创:老杨丨11年资深网络工程师,更多网工提升干货,请关注公众号:网络工程师俱乐部

华为防火墙综合案例(IPSec、SSL、NAT、ACL、安全防护)
zz12345600354的博客
05-21 1532
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。[Y/N]: y #同意修改密码。Please enter new password:p-0p-0p-0 #新密码。Please enter new password:p-0p-0p-0 #新密码。Please enter new password:p-0p-0p-0 #新密码。
「面试」到阿里第五轮后我才知道所谓的URL是什么
L的存在的博客
10-04 6492
计算机网络的重要程度不言而言,也是非常的复杂。今天我将从输入URL这个简单例子开始,一起探索数据包的心路历程。先看文章的大纲。 1 源头------网址 网址即平时所说的URL。就是经常使用的以“Http://”开头的那一串东东,其实常用的还有很多,比如 “FTP” , "FILE"等,我们所访问的目标网站不同,网址开头的写法也就不同,下面列出常见的几种URL。 从上图可知,URL 中可以包含服务器的域名,文件的路径,收件人邮件地址,用户名,密码等信息。总之URL想表达的是: 访问时所使用的协.
Linux难学?大神告诉你,Linux到底该怎么自学!
小司机的奥拓
06-14 1201
内容涵盖了部署 Linux 系统,文件读写操作有关的技术,用户身份与文件权限的设置,硬盘设备分区、格式化以及挂载等操作,firewalld 防火墙与iptables 防火墙的区别和配置,使用ssh服务管理远程主机,使用Ansible服务实现自动化运维,使用 iSCSI 服务部署网络存储,使用 MariaDB 数据库管理系统,使用 PXE+Kickstart 无人值守安装服务,使用 LNMP 架构部署动态网站环境等。总之,不经过一段时间的专门学习,想要傻瓜式地探索操作是不可能掌握 Linux 的。
安全防御——二、ENSP防火墙实验学习
baimao__Ch的博客
04-30 1796
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略,作用就是对通过防火墙的数据流进行检验,符合安全策略的合法数据流才能通过防火墙
网络安全是什么?手把手教你认识网络安全
weixin_42340783的博客
05-09 1134
使用最广泛的报文摘要算法是 MD5,MD5算法具有单向性(即不可逆)。
网络基础安全“6件套”:防火墙、WAF、IPS、上网行为管控、DDOS、蜜罐_配置防火墙了还需要配置行为管理吗
cc123489ll的博客
04-23 1546
前言,可基于已定义的安全规则控制网络流量流通,目的在于为安全、可信、可控的内部网络系统建立一道抵御外部不可信网络系统攻击的屏障,应用至今已形成较为成熟的技术模式。防火墙是作用就像一栋大楼的大门保安。这位保安会检查每一个进出大楼的人,确保只有持有有效证件或者被允许的人才能通过。同样,网络防火墙会检查每一个进出网络的数据包,根据预先设定的安全规则,判断这个数据包是否安全,从而决定是否允许它通过。例如,当我们在公司或学校网络中使用电脑时,防火墙会阻止来自外部网络的不良访问或恶意攻击,保护内部网络的安全。
运维和运营的区别是什么?网安人你分的清吗?
hackers110的博客
08-18 921
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
什么是网络安全工程师,你想知道的都在这里!
Z4400840的博客
05-05 682
网络信息安全工程师是指遵照信息安全管理体系和标准工作,防范黑客入侵并进行分析和防范,通过运用各种安全产品和技术,设置防火墙、防病毒、IDS、PKI、攻防技术等。进行安全制度建设与安全技术规划、日常维护管理、信息安全检查与审计系统帐号管理与系统日志检查等的人员。
不要以为装了防火墙,我就治不了你!!(特洛纳)
FreeXploiT
12-09 2466
不要以为装了防火墙,我就治不了你!!文章来源:cpu88s blog原文题目为:不要以为装了防火墙。我就治不了你!!--如何使tcp包和udp包穿透防火墙 通过本文的httptunnel 技术同时逃过了防火墙的屏蔽以及系统的追踪试验,我们可以看到网络安全仅仅依靠某种或某几种手段是不可靠的,同时对安全系统的盲目性依赖往往会造成巨大的安全隐患。希望通过本文能引起管理员对网络安全防护系统的思考。什么是
把手教你如何进行内网渗透
zzz6583zz的博客
06-11 905
内网渗透主要是基于前期外围打点getshell的webserver,通过收集webserver上的信息,然后对其他内网主机进行口令上的攻击,当然也有一些基于漏洞的攻击。内网相关概念这里不再进行介绍,大家可以自行百度,诸如什么是域、域与工作组的区别、什么是DC、什么是AD等。当然,概念是生涩难懂的,结合实际环境会有助于理解。实操部分写的比较草率,主要是为了增强认知、扩展思路、扩充知识面。实际上有很多优秀的集成化工具,很少会拆分开来单独使用这些方法。
kali新手入门教学(5)--利用云服务器实现外网木马
azraelxuemo的博客
05-12 4166
昨天刚买了个一年的阿里云服务器,因为ngrok提供的内网穿透服务不太稳定,比较慢,想自己搞点事情。 首先使用的工具还是我们伟大的metasploit-framework,然后网上关于这个的教学都一般局限于局域网,确实局域网比较方便配置,而且实现也比较简单,因为设计到外网,只要在使用前确保你的目标靶机和你的主机可以互相ping通,就ok了。 好了首先把这次需要使用的几个工具先列一下。 metasploit-framework,用来生成木马并且获得shell,kali自带. 1.配置防火墙 首先先去配置一下我们
【Homebrew】MacOS的包管理工具
一捌柒的博客
06-14 2685
什么是Hombrew?我们该如何使用?以及需要注意些什么
Linux基础知识讲解【运维开发】
qq_46955316的博客
03-06 670
本篇文章简述的是:关于CenOS 7 操作系统下的Linux基础操作知识
计算机系统知识总结——安全性与可靠性与系统性评测*
omroji的博客
12-08 819
加密和解密采用不同的密钥(公开密钥(双发都知道)和私有密钥(私钥只有自己知道)),如果用公钥加密(接收方的公钥加密),则要用私钥(接收方的私钥解密)解密,使用私钥加密,则用公钥解密。数字证书(CA),用于身份认证,发送方用CA私钥加密,接收方用CA公钥解密(A公钥可以解密CA的签名,再通过CA的签名来验证真伪)计算机安全指的是计算机资产安全,是要保证这些计算机资产不受自然和人为的有害因素的威胁和危害。计算机系统的可靠性是指从它开始运行(t=0)到某时刻这段时间内能正常运行的概率,用 R(t)表示。
交换机ACL与防火墙的区别
最新发布
imtech的博客
12-11 561
对比维度交换机 ACL防火墙核心机制无状态逐包匹配(五元组 / 端口 / VLAN)状态检测(会话表 + 安全策略)处理层级L2-L4 层L3-L7 层性能表现硬件加速,低延迟、高线速硬件款低延迟,软件款性能一般,复杂规则损耗大功能范围仅简单访问控制访问控制 + 安全防护 + 高级功能(NAT/VPN/IDS)控制方向双向阻断(默认),需手动配置反向规则单向阻断,响应包自动放行适用场景局域网内分段隔离(高带宽、低延迟需求)网络边界防护(深度安全、复杂策略需求)
Kamailio usrloc 细节测试
fs交流的博客
12-11 74
版本 kamailio 5.7.xIP 地址 192.168.43.68窥视 usrloc 细节,重点是内存跟数据库的同步慢慢测试,慢慢写。
深度学习uip中的“psock.c和psock.h”
weixin_42550185的博客
12-06 565
本文对uIP协议栈中的psock.c和psock.h文件进行了深度解析和重构,主要改进包括: 重构了protothread协程实现,通过#define宏控制是否替换原有PT协程机制,便于调试和原理分析。新增了状态机变量STATE_NONE等6种状态定义,优化了协程状态管理。 详细注释了关键数据结构: psock_buf结构体管理输入缓冲区 psock结构体包含双PT协程状态、数据指针和缓冲区信息 新增httpd_state结构体管理HTTP连接状态 重点分析了核心功能函数: 缓冲区操作函数(buf_setu
网络安全(黑客技术)—2025自学手册
2401_84760527的博客
11-24 1765
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
Calico网络架构与实现深度解析(下)
虽非技冠群英首,愿与同道共长歌; 大鹏一日同风起,扶摇直上九万里;
12-08 586
Calico网络架构与实现深度解析(下)
直白但详细的告诉我什么是JRE和JDK
06-12
### JRE 和 JDK 的具体定义及区别 #### 定义 - **JRE(Java Runtime Environment)**:JRE 是 Java 程序的运行环境,包含 JVM(Java 虚拟机)和核心类库。它为 Java 应用程序提供运行时支持,允许用户在不进行开发的情况下运行 Java 程序[^1]。 - **JDK(Java Development Kit)**:JDK 是 Java 开发工具包,除了包含 JRE 的所有内容外,还提供了编译器(`javac`)、调试工具(如 `jdb`)、文档生成工具(如 `javadoc`)以及其他开发所需的工具[^4]。 #### 区别 以下是 JRE 和 JDK 的主要区别: | 特性 | JRE | JDK | |---------------------|-----------------------------------------------------------------------------------------|---------------------------------------------------------------------------------------------| | **定义** | Java 程序的运行环境,用于运行 Java 应用程序。 | Java 开发工具包,用于开发 Java 应用程序[^4]。 | | **组成** | 包含 JVM 和核心类库[^1]。 | 包含 JRE、编译器(`javac`)、调试工具(如 `jdb`)、文档生成工具(如 `javadoc`)等[^4]。 | | **用途** | 仅用于运行已编译的 Java 程序。 | 用于开发、编译和调试 Java 程序。 | | **目标用户** | 面向普通用户,不需要开发能力[^1]。 | 面向开发者,需要编写和调试代码。 | | **是否包含编译器** | 不包含编译器,无法将 `.java` 文件编译为 `.class` 文件[^1]。 | 包含编译器(`javac`),可以将 `.java` 文件编译为 `.class` 文件[^4]。 | #### 示例代码:验证 JRE 和 JDK 的存在 以下是一个简单的 Java 程序,用于检测当前环境中是否存在 JRE 或 JDK: ```java public class CheckEnvironment { public static void main(String[] args) { // 检测 JRE 是否存在 System.out.println("Java Version: " + System.getProperty("java.version")); System.out.println("Java Home: " + System.getProperty("java.home")); // 检测 JDK 是否存在 try { Process process = Runtime.getRuntime().exec("javac -version"); int exitCode = process.waitFor(); if (exitCode == 0) { System.out.println("JDK is installed."); } else { System.out.println("JDK is not installed."); } } catch (Exception e) { System.out.println("Error checking JDK: " + e.getMessage()); } } } ``` #### 总结 JRE 是 Java 程序的运行环境,适合普通用户运行 Java 应用程序[^1];而 JDK 是开发工具包,适合开发者进行 Java 程序的开发和调试[^4]。两者在功能、组成和使用场景上存在显著差异。 --- ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值