以及在其他地方看到的說，防火牆是網路安全失敗的產物，設計的安全的網路是不需要防火牆的。怎麼理解？

---

邀請?

其實我對安全沒有研究，不過在我的工作經驗里，防火牆還是有用的。

圖上的是硬體防火牆，在以前的公司有簡單配置過，加白名單這種。印象深刻的是有一回為了找出一個埠號費了不少功夫。從防火牆在我們網路中的站位來看，它似乎還蠻重要的?

電力有一個自建的龐大的網路系統，在末端的本地區域網節點數也不小，根據業務分成1234四個區，重要性和安全性從1-4遞減。1區是調度系統，安全性最高；4區是辦公網，就……12區之間和34區之間，各有1台防火牆。所有1區到2區的通信，以及3區到4區通信，都必然經過各自的防火牆，如果不符合規則就不會放行。當然其實還有個更重要的安全設備，叫做正反向隔離裝置，位於1-3區之間，據說是接近物理隔離的程度，不過那個傳輸效率是真的低。

順便，除了過濾，防火牆也有日誌記錄，流量統計，nat轉換這些功能，應該也是對安全有幫助的吧。

你書上提出的"如果所有安全機制都廣泛應用……"是多麼完美的假設，我一直相信只有更加安全沒有絕對安全……而且真要說到安全，還是多布置幾道防線比較保險吧。

---

因為網路安全這個問題本身它就是一個玄學，一些企業級別的路由器本身也具備一定的防火牆功能，那麼防火牆真正的用途定位可能更多是金融，idc，醫療，政企方面的，一些普通的小公司10幾個人的那種可能企業路由器都沒有，當然僅僅是因為這玩意用不上，所以是硬體防火牆更多是一些國企，政企，不是普通人能接觸到的網路架構，當然之前也有人問過我防火牆也有上網功能那麼防火牆能不能代替路由器，我的答案當然是否定的因為路由器的和防火牆的工作原理不一樣，路由器只要是你數據包發送過來都默認接受的，路由器唯一的工作是上網，帶機量，和跑不同的網路協議例如ospf，rip，bgp那些，防火牆不一樣，它要做的工作是負責接受報文，mac地址過濾，解釋數據幀頭部，分析ip頭部還有一些比較繁瑣的我就不寫出來了，它的cpu工作量比路由器大多了，一個10000多的防火牆最最最入門級別的，應用流量最大只可以控制在100M左右cpu使用率100，這是我本人親測的，而你開啟透明牆安全性減低一半，大企業在安全和網路方面都是幾乎不計成本去投錢的，買7層防火牆，核心路由，核心交換機，這些大企業買的專線鏈路各方面的，防火牆從來都不是安全的失敗產物，只是更多是因為你們根本接觸不到那一層

---

可以了解下金盾軟體第二代防火牆。

---

有時候牆與安全無關。

---

網路安全也是相對的。防火牆還是必須的。就像家裡要有門，門要有鎖。

---

這是哪本書發出來看看它說的安全網路是啥？

安全建設應該是分層次的

底層網路訪問控制 到系統級別安全設置 再到應用層安全 代碼安全 業務邏輯安全

越往上層安全越複雜

試想你的伺服器多個埠暴露在公網，沒有防火牆的訪問控制

---

推薦閱讀：

相关文章