防火墙.

防火墙通过检查数据包,并根据引用源/目的 IP 地址、端口和协议的规则,对其进行放行、拒绝或记录,从而在网络边界实施访问控制策略。这项技术经历了三代演进:无状态包过滤器,孤立地判断每个数据包;状态检测,由 Check Point FireWall-1 于 1994 年首创,它跟踪连接状态,使返回流量能够与已建立的会话相匹配;以及下一代防火墙(NGFW),增加了应用识别、TLS 检查、用户感知和集成的 IPS。

边界防火墙存在众所周知的盲区:它们无法检查扁平网络内部的加密东西向流量,而单条过于宽松或被遮蔽的规则就可能破坏整个策略。配置错误是现实中最主要的失效模式——2019 年的 Capital One 数据泄露事件暴露了约 1 亿条记录,其根源是一个权限过高的 web-application-firewall 角色,被通过 SSRF 滥用以访问云元数据。有效的部署意味着采用默认拒绝的规则库、最小权限规则、定期重新认证以移除过时条目、变更管理,以及将集中式日志馈送到 SIEM 以检测策略漂移和横向移动。现代设计将防火墙与微分段和零信任网关配合使用,而非依赖单一的硬性边界。

flowchart TD
  P["传入数据包"] --> S{"匹配状态表?"}
  S -- "是" --> A["放行已建立的流"]
  S -- "否" --> R{"匹配某条规则?"}
  R -- "允许" --> L["放行、记录日志、加入状态表"]
  R -- "拒绝" --> D["丢弃或拒绝、记录日志"]
  R -- "无匹配" --> DD["默认拒绝"]