“防火墙”一词起源于建筑领域，用来隔离火灾，阻止火势从一个区域蔓延到另一个区域。引入到通信领域，防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然，这种隔离是高明的，既能阻断网络中的各种攻击又能保证正常通信报文的通过。

如何使用防火墙保护网络免受攻击和入侵？如何对外隐藏企业的内部网络？如何从应用层对用户的行为进行控制？这些都是本课程所要讲述的内容。

为什么需要防火墙？

防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。

防火墙与交换机、路由器对比：路由器与交换机的本质是转发，防火墙的本质是控制。

防火墙分类

传统防火墙

具有数据包过滤、网络地址转换（NAT）、协议状态检查以及VPN功能等功能

UTM防火墙

融合传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能

UTM产品针对每一个功能采用一个安全引擎，只是把多种安全引擎叠加在了一起，因此在每个UTM模块（AV、IPS、URL过滤）都进行分别执行解码、状态复原等操作，导致大量的资源消耗。

NGFW防火墙

全面应对应用层威胁的高性能防火墙。通过深入洞察网络流量中的用户、应用和内容，并借助全新的高性能单路径异构并行处理引擎，NGFW能够为用户提供有效的应用层一体化安全防护，帮助用户安全地开展业务并简化用户的网络安全架构。

为什么需要安全区域

安全区域、受信任程度与安全级别

安全域间、安全策略与报文流动的方向

安全区域配置案例

安全区域配置命令