2.1　网络防火墙概述

在国际标准化组织（International Organization for Standardization，ISO）的开放系统互联参考模型（Open System Interconnection Reference Model）中，网络互联模型分为7层，如表2-1所示。

表2-1　国际标准化组织的开放系统互联参考模型

一般来说，网络防火墙工作在表2-1所示的第3层和第4层，它根据预定义规则中的上层协议或来源地址、目的地址、来源端口、目的端口来进行放行或者禁止的动作。

按照许可协议类型，网络防火墙可分为商业防火墙和开源防火墙两大类。

·大多数商业防火墙以硬件的形式提供给客户，其通过运行在专有硬件上的专有操作系统来实现网络控制。典型的商业防火墙产品有：

■Cisco自适应安全设备（Adaptive Security Appliance，ASA）

■Juniper安全业务网关（Secure Services Gateway，SSG）

■华为统一安全网关（Unified Security Gateway，USG）

·开源防火墙一般以开源软件的形式提供授权。典型的开源防火墙包括Linux iptables、FreeBSD IPFW和PF防火墙等。

值得一提的是，网络防火墙只是整个安全防护体系中的一部分，虽然其具有重要的、无可替代的作用，但是也有一定的局限性。

·不能防止自然或者人为的故意破坏。网络防火墙无法阻止对基础设施的物理损坏，不管这种损坏是由自然现象引起的还是人为原因所导致的。

·不能防止受病毒感染的文件的传输。受病毒感染的文件经常通过电子邮件、社交工具（例如，即时通信工具）、网站访问的形式传播，而这些途径都是基于正常的网络协议，因此网络防火墙是无能为力的。

·不能解决来自内部网络的攻击和安全问题。内部发起的网络攻击并未到达网络边界，因此网络防火墙也无法产生作用。

·不能防止策略配置不当或者配置错误引起的安全威胁。

·不能防止网络防火墙本身安全漏洞所带来的威胁。例如，在2017年下半年，某知名安全厂商的多个防火墙产品被曝存在未授权远程代码执行漏洞（CVE-2017-15944）^[1]，该漏洞基于其他3个单独漏洞的综合利用，可以通过Web管理端对防火墙实现root身份的未授权远程代码执行攻击。

基于以上对网络防火墙的局限性分析，我们可以知道，在依赖网络防火墙提供的安全保障服务的基础上，也应该构建多层次、全面保障的纵深防御体系。

[1] http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2017-15944。