其实无论是思科防火墙还是其他品牌的防火墙，既然都叫防火墙，它们的功能其实都是差不多的，都是对流量进行控制，防止一些非法流量的入侵等。

现在比较常见的防火墙都是可以当做网关使用的，但是和路由器不同的是，防火墙的主要目的是控制，而路由器则是转发。

所以我们在使用防火墙的时候需要注意一个点：防火墙默认是不通的，也就是拒绝所有流量的，所以我们需要给在防火墙的不同接口配置上不同的域，然后通过域和域之间不同的策略来允许其互通。一般来说防火墙的域设置有3个：

内网用户所在的域，即安全域Trust：该域中一般包含所有的内网用户主机，且优先级很高。

外网用户所在的域，即非安全域Untrust：该域中一般包含的是所有公网用户，即连接internet的公网接口，优先级最低。

内网中服务器所在的域，即非军事化管理区域DMZ：该域中一般包含的是所有内网服务器，且该服务器会同时服务于公网和内网用户，优先级适中。

当然，我们也可以自定义域，然后针对于每个域进行用户的行为管理和控制以及流量的控制等，而控制的目的则主要是防止公网中的攻击流量或者病毒威胁到内网安全，以至于整个内网崩坏。现在的防火墙很多都有一些基于数据包、数据流乃至于针对于应用的控制，比如自维病毒库等，具体的功能要基于型号而定，如果是想要进行设备选购的话，建议去cisco官网去详细的看一下产品序列。

小伙伴们还有更多关于防火墙学习的问题，可以给我留言在下方，更多学习交流欢迎扫下方二维码加群