本文介绍了防火墙的基础知识,包括其主要功能如访问控制、攻击防护和日志记录,以及区域概念如内部、DMZ和外部区域。防火墙分为软件和硬件形式,技术上包括包过滤、状态检测、应用代理等类型。状态检测防火墙为现代主流,DPI防火墙代表未来趋势。防火墙性能指标包括吞吐量、时延、丢包率和并发连接数。此外,防火墙工作模式有透明、路由和混杂模式。文章还讨论了防火墙的历史演变,从早期的包过滤到现代的状态检测和深度包检测技术。
防火墙简介
- 防火墙:是一款具有安全防护功能的网络设备。
- 隔离网络:将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护。
- 注意:防火墙和路由器虽然可以实现限制流量的功能,但是两者的目的并不一样。路由器配置好网络,默认两边是完全互通的,除非添加ACL策略,才可以限制部分流量。而防火墙配置好网络,两边是隔离的,除非配置一些防火墙策略,才可以实现两边的访问。
- 注意:防火墙的本职工作是在三层和四层上隔离网络。并不是用来防护病毒和木马。
防火墙的基本功能
- 访问控制
- 攻击防护
- 冗余设计
- 路由、交换
- 日志记录
- 虚拟专网VPN
- NAT
- 注意:防火墙也可以用来作为交换机和路由器来使用。里面的很多功能,是需要单独购买license的。
防火墙的区域概念
- 内部区域:inside/trust
- DMZ区域:一般是服务器,也称为服务器区,隔离区、非军事化区。
- 外部区域:outside/untrust
- 注意:WAF:用来防御web攻击。
- 注意:IPS:入侵防御系统。五层防御。
- 注意:IDS:入侵检测系统。用来旁路部署。由于IPS价格昂贵,目前用的IDS用的比较多。
防火墙分类
- 按防火墙形态:
- 软件防火墙
- 硬件防火墙
- 按技术实现:
- 包过滤防火墙
- 状态检测包过滤防火墙
- 应用代理防火墙
- WAF防火墙
- 应用层防火墙
防火墙发展史
- 包过滤防火墙:最早的防火墙技术之一,功能简单,配置复杂,基于三层,目前已经淘汰。目前已经被状态检测防火墙取代。
- 应用网关/应用代理防火墙:最早的防火墙技术只二,连接效率低,速度慢。目前已经淘汰。工作在应用层。大致原理是,员工访问防火墙,由防火墙和服务端访问。虽然可以隐藏内部区域,防火墙同时会产生两个会话,所以性能比较差。可伸缩性差。
- 状态检测防火墙:现代的主流防火墙,速度快,配置方便,功能较多。有人要上网,当数据包到达防火墙之后,防火墙会根据这个包的特征[源IP、目标IP、协议、源端口号、目标端口]先检查策略表,然后检查路由,再根据PAT地址映射,将包发送给目标端。在此期间,防火墙在状态匹配表中,记录此次会话的状态。之后的相同的流量,会直接根据该条会话,直接发送给目标。当目标服务器返回数据的时候,防火墙会根据这个状态匹配表中的信息,将流量发送给源IP。会话状态的超时时间一般是60s。也是基于非五层检测。
- DPI防火墙:Deep Packet Inspection,未来的防火墙发展方向,能够高速的第五层数据进行检测。
衡量防火墙性能的5大指标
- 吞吐量:在不丢包的情况下,单位时间内通过的数据包流量
- 时延:数据包第一个比特进入防火墙到最后一个比特从防火墙输出的时间间隔。
- 丢包率:通过防火墙传送时,所丢失数据包数量占所发送数据包的比率。
- 并发连接数:防火墙能够同时处理的点对点来凝结的最大数目。
- 新建连接数:在不丢包的情况下,每秒可以建立的最大连接数。
防火墙的工作模式
- 透明模式:防火墙工作在二层。当客户不想修改现有的网络架构的话,比较适用。用户只是用来实现安全区域隔离的要求。
- 路由模式:防火墙工作在三层,将防火墙当作路由器和NAT设备连接上网的同时,提供安全过滤功能。
- 混杂模式:透明模式和路由模式的结合。很少使用。可以理解为内部区为内网地址,DMZ区,使用的公网地址。
- 注意:防火墙并不关心是否是公网IP,只关心如何划分区域,以及网络策略。
扫一扫
1159
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
