防火墙的基本概念
防火墙的定义:是一款具备安全防护功能网络设备:
❖ 隔离网络: ▪ 将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护
防火墙的基本功能
❖ 访问控制
❖ 攻击防护
❖ 冗余设计
❖ 路由、交换
❖ 日志记录
❖ 虚拟专网VPN
❖ NAT
防火墙产品及厂家举例
防火墙产品:H3C U200系列
防火墙产品:juniper550M
天融信
区域隔离
防火墙区域概念:
▪ 内部区域
▪ DMZ区域:称为“隔离区”,也称“非军事化区/停火区” (一般服务器都放在这个区域)
▪ 外部区域
防火墙的分类
https://zhuanlan.zhihu.com/p/95664193
按防火墙形态
1. 软件防火墙
2. 硬件防火墙
按技术实现
1. 包过滤防火墙
2. 状态检测包过滤防火墙
3. 应用(代理)防火墙
4. WAF防火墙(Web Application Firewall)
5. 应用层防火墙
包过滤防火墙:
最早的防火墙技术之一,功能简单,配置复杂
也叫分组过滤防火墙(Packet Filtering)。 根据分组包的源、目的地址,端口号及协议类型、标志位确定是否允许分组包通过。 所根据的信息来源于IP、ICMP、TCP或UDP等协议的数据包头(Packet Header)。
优点:高效、透明
缺点:对管理员要求高、处理信息能力有限
应用网关/应用代理防火墙:
最早的防火墙技术之二,连接效率低,速度慢
也叫应用代理防火墙
每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
优点:安全性高,检测内容
缺点:连接性能差、可伸缩性差
状态检测防火墙:
现代主流防火墙,速度快,配置方便,功能较多
从传统包过滤发展而来,除了包过滤检测的特性外,对网络连接设置状态特性加以检测。
优点:
- 减少检查工作量,提高效率
- 连接状态可以简化规则的设置
缺点:对应用层检测不够深入
DPI防火墙(Deep Packet Inspection):
未来防火墙的发展方向,能够高速的对OSI第七层数据进行检测。
不可能是单纯的五层防火墙,也需要带状态检测功能。
衡量防火墙性能的5大指标
1、吞吐量:在不丢包的情况下单位时间内通过的数据包数量
2、时延:数据包第一个比特进入防火墙到最后一比特从防火墙输出的时间间隔(有语音、视频需求的。。。)
3、丢包率:通过防火墙传送时所丢失数据包数量占所发送数据包的比率
4、并发连接数:防火墙能够同时处理的点对点连接的最大数目
5、新建连接数:在不丢包的情况下每秒可以建立的最大连接数
防火墙的典型应用
标准应用—透明模式
透明模式/桥模式一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下, 用户需要加装防火墙以实现安全区域隔离的要求。
一般将网络分为内部网、DMZ区和外部网。DMZ区和内部网是在同一个网段,防火墙这三个端口目前处于2层。工作在2层怎么对三层四层过滤呢?它的内部不一定在2层,类比三层交换机。三个区域还是隔离的、此时DMZ区域ping网关可以,但是网关不可以ping DMZ区域。工作在2层可以即插即用,原有网络架构一点都不用变。
标准应用—路由/NAT模式
路由/NAT模式一般用于防火墙当作路由器和NAT设备连接上网的同时,提供安全过滤功能。SNAT是source NAT,PAT,源地址转换;DNAT=Destination NAT,端口映射。这个时候,DMZ区和内部网就是俩网段,此时工作在三层。
标准应用—混杂模式
一般网络情况为透明模式和路由模式的混合。
高级应用—双机热备
最安全的防火墙架构