2.1　網絡防火墻概述

在國際標準化組織（International Organization for Standardization，ISO）的開放系統互聯參考模型（Open System Interconnection Reference Model）中，網絡互聯模型分為7層，如表2-1所示。

表2-1　國際標準化組織的開放系統互聯參考模型

一般來說，網絡防火墻工作在表2-1所示的第3層和第4層，它根據預定義規則中的上層協議或來源地址、目的地址、來源端口、目的端口來進行放行或者禁止的動作。

按照許可協議類型，網絡防火墻可分為商業防火墻和開源防火墻兩大類。

·大多數商業防火墻以硬件的形式提供給客戶，其通過運行在專有硬件上的專有操作系統來實現網絡控制。典型的商業防火墻產品有：

■Cisco自適應安全設備（Adaptive Security Appliance，ASA）

■Juniper安全業務網關（Secure Services Gateway，SSG）

■華為統一安全網關（Unified Security Gateway，USG）

·開源防火墻一般以開源軟件的形式提供授權。典型的開源防火墻包括Linux iptables、FreeBSD IPFW和PF防火墻等。

值得一提的是，網絡防火墻只是整個安全防護體系中的一部分，雖然其具有重要的、無可替代的作用，但是也有一定的局限性。

·不能防止自然或者人為的故意破壞。網絡防火墻無法阻止對基礎設施的物理損壞，不管這種損壞是由自然現象引起的還是人為原因所導致的。

·不能防止受病毒感染的文件的傳輸。受病毒感染的文件經常通過電子郵件、社交工具（例如，即時通信工具）、網站訪問的形式傳播，而這些途徑都是基于正常的網絡協議，因此網絡防火墻是無能為力的。

·不能解決來自內部網絡的攻擊和安全問題。內部發起的網絡攻擊并未到達網絡邊界，因此網絡防火墻也無法產生作用。

·不能防止策略配置不當或者配置錯誤引起的安全威脅。

·不能防止網絡防火墻本身安全漏洞所帶來的威脅。例如，在2017年下半年，某知名安全廠商的多個防火墻產品被曝存在未授權遠程代碼執行漏洞（CVE-2017-15944）^[1]，該漏洞基于其他3個單獨漏洞的綜合利用，可以通過Web管理端對防火墻實現root身份的未授權遠程代碼執行攻擊。

基于以上對網絡防火墻的局限性分析，我們可以知道，在依賴網絡防火墻提供的安全保障服務的基礎上，也應該構建多層次、全面保障的縱深防御體系。

[1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15944。