過去寫過那麼多伺服器管理和伺服器防禦的文章，裡面多涵蓋了“伺服器防火牆”這一詞，相信每位朋友的電腦多安裝或者開啟過——伺服器防火牆。或者說當你在電腦上安裝軟體後，想要開啟卻收到一個彈窗，對話方塊提示連線失敗，請檢查您的網路防火牆。沒錯，這就是我們所說的伺服器防火牆。和高防伺服器一樣，單說防防禦，伺服器防火牆是用來保護我們伺服器機密資料的一道防線。

一、伺服器防火牆的作用

①防火牆是保護網站的工具：入侵者必須首先穿越防火牆的安全防線，才能接觸目標計算機。你可以將防火牆配置成許多不同保護級別。高級別的保護可能會禁止一些服務，如影片流等，但至少這是你自己的保護選擇。防火牆同時可以保護網路免受基於路由的攻擊，如IP選項中的源路由攻擊和ICMP重定向中的重定向路徑。防火牆應該可以拒絕所有以上型別攻擊的報文並通知防火牆管理員。

②防止內部資訊的外洩：透過利用防火牆對內部網路的劃分，實現重點網段隔離，限制區域性重點或敏感網路安全問題對全域性網路造成的影響。避免暴漏了內部網路的某些安全漏洞。使用防火牆就可以隱蔽那些透漏內部細節如Finger，DNS，使用者的註冊名、真名，最後登入時間和使用shell型別等。防火牆可以同樣阻塞有關內部網路中的DNS資訊。

③伺服器防火牆能記錄下這些訪問並作出日誌記錄，同時也能提供網路使用情況的統計資料：當發生可疑動作時，防火牆能進行適當的報警，並提供網路是否受到監測和攻擊的詳細資訊。另外，收集一個網路的使用和誤用情況可以清楚防火牆是否能夠抵擋攻擊者的探測和攻擊，並且清楚防火牆的控制是否充足。

④伺服器防火牆具有Internet服務特性的企業內部網路技術體系VPN(虛擬專用網)。

防火牆的是目前一種最重要的網路防護裝置。從專業角度講，防火牆是位於兩個(或多個)網路間，實施網路之間訪問控制的一組元件集合。防火牆可以強化網路安全策略：透過以防火牆為中心的安全方案配置，能將所有安全軟體(如口令、加密、身份認證、審計等)配置在防火牆上。與將網路安全問題分散到各個主機上相比，集中安全管理更經濟。在網路訪問時，一次一密口令系統和其它的身份認證系統可以不必分散，可以集中在防火牆一身上。

二、以下是兩種常見的伺服器防火牆:

網路層防火牆和 應用層防火牆。 這兩型別防火牆也許重疊; 的確, 單一系統會兩個一起實施。網路層防火牆可視為一種 IP 封包過濾器，運作在底層的 TCP/IP

協議堆疊上。我們可以以列舉的方式，只允許符合特定規則的封包透過，其餘的一概禁止穿越防火牆。這些規則通常可以經由管理員定義或修改，不過某些防火牆裝置可能只能套用內建的規則。我們也能以另一種較寬鬆的角度來制定防火牆規則，只要封包不符合任何一項“否定規則”就予以放行。現在的作業系統及網路裝置大多已內建防火牆功能。

應用層防火牆

應用層防火牆是在 TCP/IP 堆疊的“應用層”上運作，您使用瀏覽器時所產生的資料流或是使用 FTP時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包，並且封鎖其他的封包(通常是直接將封包丟棄)。理論上，這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。

防火牆藉由監測所有的封包並找出不符規則的內容，可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實現而言，這個方法既煩且雜(軟體有千千百百種啊)，所以大部分的防火牆都不會考慮以這種方法設計。

XML 防火牆是一種新型態的應用層防火牆。

三、高防伺服器防火牆的效能指標：

1、吞吐量：伺服器防火牆能同時處理的最大資料量;衡量標準，吞吐量越大，效能越高。

2、時延：資料包的第一個位元進入伺服器防火牆到最後一個位元輸出伺服器防火牆的時間間隔指標，衡量標準：延時越小，效能越高。

4、背靠背：快取，主要是指防火牆緩衝容量的大小。網路上常會出現一些突發的大流量(例如：NFS，備份，路由更新等)，而且這樣的資料包的丟失可能會產生更多的資料包丟失。強大的緩衝能力可以減小對這種突發網路情況造成的影響。

5、併發連線數：訪問量，併發連線數指標越大，抗攻擊能力也越強

總結 ：建設防火牆需要仔細的選擇和配置一個解決方案來滿足你的需求，然後不斷的去維護它。需要做很多的決定，對一個站點是正確的解決方案往往對另外站點來說是錯誤的。並不要指望防火牆靠自身就能夠給予你安全。防火牆保護你免受一類攻擊的威脅，但是卻不能防止從LAN內部的攻擊，它甚至不能保護你免受所有那些它能檢測到的攻擊。做好最壞的心理準備。

最後提醒大家，防火牆不是萬能的,對一些新出現的病毒和木馬可能沒有反映,要時常的更新.機器可能會停止執行，有惡意動機的使用者可能做壞的事情併成功的打敗你。但是你可以選擇互聯資料，知名度高、口碑好，以硬軟體構建伺服器防火牆，針對DDoS攻擊的防禦體系，能有效應對DOSS攻擊，做好事前安全、事中抵抗、事後分析，然後分析總結出結論後，再進行下一輪的事情安全迴圈。

其實無論是思科防火牆還是其他品牌的防火牆，既然都叫防火牆，它們的功能其實都是差不多的，都是對流量進行控制，防止一些非法流量的入侵等。

現在比較常見的防火牆都是可以當做閘道器使用的，但是和路由器不同的是，防火牆的主要目的是控制，而路由器則是轉發。所以我們在使用防火牆的時候需要注意一個點：防火牆預設是不通的，也就是拒絕所有流量的，所以我們需要給在防火牆的不同介面配置上不同的域，然後透過域和域之間不同的策略來允許其互通。

一般來說防火牆的域設定有3個：內網使用者所在的域，即安全域Trust：該域中一般包含所有的內網使用者主機，且優先順序很高。

網路使用者所在的域，即非安全域Untrust：該域中一般包含的是所有公網使用者，即連線internet的公網介面，優先順序最低。

內網中伺服器所在的域，即非軍事化管理區域DMZ：該域中一般包含的是所有內網伺服器，且該伺服器會同時服務於公網和內網使用者，優先順序適中。

當然，我們也可以自定義域，然後針對於每個域進行使用者的行為管理和控制以及流量的控制等，而控制的目的則主要是防止公網中的攻擊流量或者病毒威脅到內網安全，以至於整個內網崩壞。現在的防火牆很多都有一些基於資料包、資料流乃至於針對於應用的控制，比如自維病毒庫等，具體的功能要基於型號而定，如果是想要進行裝置選購的話，建議去cisco官網去詳細的看一下產品序列。

防火牆的概念網上很多資料資料可以參考，既然作者提問了，說明你可能對網上生硬的概念無法深入理解，那我就通俗的和你介紹一下我理解的防火牆的含義。

要了解什麼是防火牆，我們搞清楚它的作用、功能；搞清楚它在網路中所處的位置、地位，這樣就能對防火牆有一個準確的定義了。

1、防火牆的作用。

防火牆的主要作用保護你需要保護的伺服器、電腦、網段等。比如你的erp伺服器，你允許普通員工訪問它，不允許透過wifi接入公司網路的來賓訪問它，這時你就可以根據防火牆安全區域配置域間策略，域間策略可以配置的選項很豐富，基本的源目的ip、應用型別、服務、url等，還可以指定起作用的時間段，例如只在上班時間允許，其餘時間禁止任何訪問。

防火牆的執行動作是允許和禁止，permit和deny。

2、防火牆的功能。

雖然它叫防火牆，但是它客串了很多企業網路裝置的角色，涵蓋了路由器、交換機、行為管理，甚至是認證裝置的功能，功能怎麼使用取決於你的網路規模。但防火牆支援這麼多功能，很大因素是它往往是搭配其它網路裝置使用，例如用Eth-trunk和三層交換機連線、用ospf快速發現學習路由條目，把防火牆部署在網際網路出入口時，還需要vpn的功能，這樣可以簡化內網的其它裝置的配置。深入瞭解功能的使用，我們就要明確下防火牆在網路中的部署位置。

3、防火牆的部署位置。

一般來說，網路出口處都會部署一臺防火牆，這裡說的出口不只是內網連線網際網路的出口，也包括了各功能區域網路，例如辦公網路和DCS網路之間、監控安防網路和辦公網路之間，如果規模足夠大，甚至是無線網路和有線網路之間也可能需要一臺防火牆來保證網路安全。但是一般中小企業，都是在出口處部署一臺防火牆，透過劃分安全區域的方式來控制各個網路之間的訪問 。總之，防火牆通常部署在網路邊界。

4、防火牆在網路中的地位。

地位，也可以說是重要性。防火牆根據部署位置不同，重要性也不同。例如部署在網際網路出入口的防火牆，那防火牆往往不僅起到抵禦網路非法流量的作用，還起到內網訪問網際網路、企業vpn互聯、伺服器對映等作用，這時防火牆如果宕機，那業務也就癱瘓。因此可以說，防火牆在網路安全、業務保全方面有著主導地位。

我自己也親歷過防火牆損壞，加班到深夜恢復業務的悲劇。因為防火牆不像交換機或者路由器，它功能多，配置較為複雜，恢復起來也比較費時。所以有條件的話，可以做雙機熱備，或者有多臺防火牆的話，利用一些網路技術(例如ospf+bfd)，設計主備方案。