防火墙一般规则阻止“伪造内网源地址”的外网流量阻止“伪造外网源地址”的内网设备流量恶意伪造or异常阻止黑名单IP流量阻止非法/未分配地址流量(IP合法性校验 反伪造机制)静态包过滤Packet Filter 看IP/端口单包过滤无状态 五元组源IP、源端口、目的IP、目的端口、协议 ↓ 电路级连接能不能建 看能不能连上不检查数据内容 ↓ 状态检测Stateful / 动态包过滤看会话连接是否合理 判断数据包是否属于 “状态表中记录的TCP/UDP会话连接并符合该连接的状态流程” DPI深度包检测查看HTTP、Sql语句等 ↓ 应用防火墙看内容 基于应用层协议如HTTP、DNS等解析数据内容 WAF Web Application Firewall下一代防火墙NGFW安全综合体啥功能都有。功能多都开启会影响原本性能内部分段防火墙ISFWInternal Segmentation Firewall部署在内网内部用于控制不同网络分段之间的访问防止攻击在内网横向移动网工技术传输架构