網(wǎng)友解答: 交換機(jī)、路由器、防火墻幾乎是現(xiàn)代局域網(wǎng)絡(luò)都要使用的網(wǎng)絡(luò)設(shè)備，其中，交換機(jī)負(fù)責(zé)連接網(wǎng)絡(luò)設(shè)備（如交換機(jī)、路由器、防火墻、無(wú)線AP等）和終端設(shè)備（如計(jì)算機(jī)、服務(wù)器、攝像頭、網(wǎng)絡(luò)打印

交換機(jī)、路由器、防火墻幾乎是現(xiàn)代局域網(wǎng)絡(luò)都要使用的網(wǎng)絡(luò)設(shè)備，其中，交換機(jī)負(fù)責(zé)連接網(wǎng)絡(luò)設(shè)備（如交換機(jī)、路由器、防火墻、無(wú)線AP等）和終端設(shè)備（如計(jì)算機(jī)、服務(wù)器、攝像頭、網(wǎng)絡(luò)打印機(jī)等）；路由器實(shí)現(xiàn)局域網(wǎng)與局域網(wǎng)的互聯(lián)，局域網(wǎng)與Internet的互聯(lián)；而防火墻作為一個(gè)安全網(wǎng)絡(luò)設(shè)備，作用于內(nèi)部網(wǎng)絡(luò)與內(nèi)部網(wǎng)絡(luò)之間，或者內(nèi)部網(wǎng)絡(luò)與Internet之間?？偟膩?lái)說(shuō)，交換機(jī)負(fù)責(zé)連接設(shè)備，路由器負(fù)責(zé)連接網(wǎng)絡(luò)，防火墻負(fù)責(zé)網(wǎng)絡(luò)訪問限制。

防火墻連接圖：

防火墻第一種連接方式圖：

防火墻第二種連接方式圖：

防火墻概述

防火墻又稱網(wǎng)絡(luò)防火墻，是指設(shè)置在計(jì)算機(jī)網(wǎng)絡(luò)之間的一道隔離裝置，它可以隔離兩個(gè)或者多個(gè)網(wǎng)絡(luò)，限制網(wǎng)絡(luò)互訪，從而保護(hù)內(nèi)部網(wǎng)絡(luò)用戶和數(shù)據(jù)的安全。

網(wǎng)絡(luò)防火墻的功能

1.隔離網(wǎng)絡(luò)

網(wǎng)絡(luò)防火墻通常位于路由器與內(nèi)部網(wǎng)絡(luò)（即局域網(wǎng)）之間，對(duì)所有進(jìn)出局域網(wǎng)的數(shù)據(jù)進(jìn)行過濾和篩選，從而避免了來(lái)自外部網(wǎng)絡(luò)的網(wǎng)絡(luò)攻擊，保護(hù)了內(nèi)部網(wǎng)絡(luò)。

防火墻隔離內(nèi)部和外部網(wǎng)絡(luò)圖：

同時(shí)，網(wǎng)絡(luò)防火墻還可以隔離內(nèi)部網(wǎng)絡(luò)，將內(nèi)部網(wǎng)絡(luò)中的一些重要部門和普通用戶隔離起來(lái)，從而避免來(lái)自網(wǎng)絡(luò)內(nèi)部的惡意攻擊。

防火墻隔離內(nèi)部重要網(wǎng)絡(luò)圖：

2.保障安全

網(wǎng)絡(luò)防火墻能將所有的安全軟件（如密碼、加密、身份證、審計(jì)等）設(shè)置在防火墻上，進(jìn)行集中有效的管理。

內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)的所有數(shù)據(jù)流都要進(jìn)過防火墻，防火墻通過查看這些數(shù)據(jù)流的IP地址和端口判定數(shù)據(jù)流是否符合防火墻預(yù)先設(shè)定的安全策略，如果符合，讓其通過；如果不符，則禁止通過。

網(wǎng)絡(luò)防火墻可以將MAC地址與IP地址綁定起來(lái)，防止受控的網(wǎng)絡(luò)內(nèi)部用戶通過修改IP地址來(lái)訪問外網(wǎng)。

網(wǎng)絡(luò)防火墻的工作原理

防火墻的種類大致可以分為兩種，一種是包過濾型防火墻，一種是應(yīng)用代理防火墻。

1.包過濾防火墻

包過濾防火墻工作于OSI參考模型的第四層（即網(wǎng)絡(luò)傳輸層），通過檢查每個(gè)數(shù)據(jù)包的IP地址，所采用的通信協(xié)議和端口號(hào)等判斷是否允許放行。防火墻通過將數(shù)據(jù)包的內(nèi)部狀態(tài)信息和自己內(nèi)存中設(shè)定的安全策略進(jìn)行對(duì)照，如果該數(shù)據(jù)包符合安全策略中的某一條策略，那么允許數(shù)據(jù)通過；如果不符合任何安全策略，那么防火墻會(huì)執(zhí)行默認(rèn)的處理規(guī)則（一般情況下，默認(rèn)的處理規(guī)則就是丟棄該數(shù)據(jù)包）。

2.應(yīng)用代理防火墻

應(yīng)用代理防火墻工作于OSI參考模型的第七層（即應(yīng)用層），當(dāng)客戶機(jī)需要使用服務(wù)器上的數(shù)據(jù)時(shí)，首先將數(shù)據(jù)請(qǐng)求發(fā)送給代理服務(wù)器，由代理服務(wù)器根據(jù)這一請(qǐng)求向服務(wù)器請(qǐng)求數(shù)據(jù)。然后再由代理服務(wù)器將返回的數(shù)據(jù)轉(zhuǎn)給客戶機(jī)。由于外部系統(tǒng)與內(nèi)部服務(wù)器之間沒有直接的數(shù)據(jù)通道，外部的攻擊就難以進(jìn)入到內(nèi)部網(wǎng)絡(luò)。

結(jié)語(yǔ)

不管是交換機(jī)，路由器還是防火墻，這些網(wǎng)絡(luò)設(shè)備的功能實(shí)現(xiàn)都需要網(wǎng)絡(luò)工程師預(yù)先對(duì)設(shè)備進(jìn)行配置（比如VLAN虛擬網(wǎng)端口的劃分，防火墻安全策略的配置，路由器默認(rèn)網(wǎng)關(guān)的設(shè)定等），其實(shí)從某種層面來(lái)說(shuō)，這些網(wǎng)絡(luò)設(shè)備都是計(jì)算機(jī)，都有cpu和內(nèi)存，都是通過cpu對(duì)機(jī)器語(yǔ)言的“翻譯”來(lái)實(shí)現(xiàn)硬件功能的實(shí)現(xiàn)。