今天整理一下防火墙的一些简单知识。
防火墙在百度百科中的定义是:防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
简单来说防火墙就是把内网环境和外网环境进行隔离,按照一定的规则不让外网有害的数据进入内网,对内网信息进行破坏、窃取、修改等等。
防火墙的功能:
(1)访问控制;比如ACL。
(2)攻击防护;比如DOS、DDOS。
(3)冗余设计;双防火墙设计,一主一备,当主防火墙坏了,备份防火墙就可以代替主防火墙。VRRP协议。
(4)路由交换;路由功能,相当于路由器。
(5)日志记录;防火墙监测数据的日志。
(6)虚拟专网VPN;可以做VPN服务。
(7)NAT;端口转换
做防火墙产品的厂家有华三、天融信、启明星辰、山石、思科、华为、锐捷、网康等等。
防火墙的性能指标:吞吐量、时延、丢包率、并发连接数范围、新建连接数。
防火墙的作用主要是隔离网络,那么其隔离的区域一般划分为:
内部区域(trust):用来放置内网主机。
DMZ区域:一般用来放置服务器。
外部区域(untrust):一般是互联网。
防火墙按形态分类:软件防火墙、硬件防火墙。
按技术分类:
包过滤防火墙:它是基于三层过滤数据,现在已经淘汰了。
应用网关(代理)防火墙:它是基于应用层过滤的,但是它连接效率低、速度慢。基本也被淘汰了。
状态检测包过滤防火墙:是下如今主流的防火墙。它是基于三、四、五层过滤的。
WAF防火墙:它是特殊的防火墙,用来对web服务器的数据过滤。
DPI防火墙:未来防火墙发展方向。
状态防火墙过程:
(1)在防火墙没会话状态时,内网数据经过防火墙,那么数据包如果是【源IP 目的IP 主机端口 外网主机端口】。
(2)进入防火墙后防火墙会查看配置的策略与数据是否匹配,匹配成功后,这时的数据包还在防火墙内部。
(3)这时的数据包还在防火墙内部,接下来会查看路由是转发到哪个接口,到了出接口。
(4)还要做地址转换,源IP会变成出口IP,主机端口会变成出口的端口。
(5)在通过arp广播得到下一跳mac地址,数据加上mac地址,这时数据会变成【下一跳mac 出接口mac 出接口IP 目的IP 出接口端口 外网主机端口】。
防火墙会把上面的过程记录下来称为会话状态。会话状态内容大致为源IP、目的IP、源端口、目的端口 -> 出接口、nat之后的IP、mac地址等。会话状态一般是60秒。因为一般内网发过来的数据不可能是一帧,而是几十上百的帧,可能更多。所以数据到防火墙时,防火墙只要检查第一个帧就可以了,后面的帧就可以通过防火墙记录的会话状态对比与源IP、目的IP、源端口、目的端口匹配是否一致,如果一致就不会在匹配后面的策略、路由、nat地址、mac地址等直接通过。只要内网的某一主机一直发帧,防火墙就会一直维持这个会话状态,直到超过60秒不在发帧。如果外网主机回包的话,只要满足会话状态的后半段,即防火墙接口、nat转换后的IP地址,端口等就可以进入内网。如果内网就没有发送数据到外网,防火墙也就没有会话状态,那么外网发送数据到内网,在防火墙那里就被丢弃了。
防火墙有三种模式:透明模式、路由模式、混杂模式。
透明模式(桥模式):防火墙工作在二层,相当于交换机,但是防火墙还是可以做三、四、五层的数据过滤。也可以做区域隔离。其实防火墙不管工作在几层都不影响它工作。这种模式最大的优点就是不影响现有的网络架构。
路由模式:工作在三层,相当于三层交换机,也可以叫NAT模式。DNAT端口映射、SNAT源地址转换(内->外)。
混合模式:是透明模式与路由模式的混用。