目录
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备。
防御对象: 1.授权用户 2.非授权用户
包过滤防火墙
----
访问控制列表技术
---
三层技术
简单、速度快检查的颗粒度粗
代理防火墙
----
中间人技术
---
应用层
降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。代理技术只能针对特定的应用来实现,应用间不能通用。技术复杂,速度慢能防御应用层威胁,内容威胁
状态防火墙
---
会话追踪技术
---
三层、四层
在包过滤(
ACL
表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用
hash
来处理形成定长值,使用
CAM
芯片处理,达到交换机的处理速度。
1.首包机制2.细颗粒度3.速度快
UTM---
深度包检查技术
----
应用层
把应用网关和 IPS 等设备在状态防火墙的基础上进行整合和统一。把原来分散的设备进行统一管理,有利于节约资金和学习成本统一有利于各设备之间协作。设备负荷较大并且检查也是逐个功能模块来进行的,貌合神离,速度慢。
下一代防火墙
2008
年
Palo Alto Networks
公司发布了下一代防火墙(
Next-Generation Firewall
),解决了多个功能
同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。
2009
年
Gartner
(一家
IT
咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。
Gartner
把
NGFW
看做不同信任级别的网络之间的一个线速(
wire-speed
)实时防护设备,能够对流量
执行深度检测,并阻断攻击。
Gartner
认为,
NGFW
必须具备以下能力:
1. 传统防火墙的功能NGFW 是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状态检测、 NAT 、 VPN 等。2. IPS 与防火墙的深度集成 NGFW 要支持 IPS 功能,且实现与防火墙功能的深度融合,实现 1+1>2 的效果。 Gartner 特别强调 IPS 与防火墙的 “ 集成 ” 而不仅仅是 “ 联动 ” 。例如,防火墙应根据 IPS检测到
的恶意流量自动更新下发安全策略,而不需要管理员的介入。换言之,集成 IPS 的防火墙将更加智能。 Gartner 发现, NGFW 产品和独立 IPS 产品的市场正在融合,尤其是在企业边界的部署场景下, NGFW 正在吸收独立 IPS 产品的市场。
1. 公司部署状态检测防火墙,隔离内外网,配置策略允许由内外区域访问外网区域的所有数据通行。
2.内网主机第一次访问外网主机,生成数据帧发到防火墙,防火墙检查自身策略ACL表、检查路由表、检查NAT表、检查VPN表(内网访问内网可能还要ARP广播得到MAC地址),最后将数据发送到外网主机。
3.在上述过程中,当防火墙从内网主机收到数据帧开始,生成访问状态,从哪个IP访问哪个IP,哪个端口访问哪个端口,有无放行,路由到哪个接口,进行哪些地址转换、包头封装等等。
4.当第二个帧来到防火墙时,防火墙先进行状态匹配,如命中,则按该状态直接封装转发,如未命中则按步骤二处理。
5.当外网主机对内网主机回包时,防火墙先进行状态匹配,如命中,则按该状态直接封装转发,如未命中(可能是IP或端口号被修改),则丢弃(因为策略没有配置该方向)。
6.当最后一个帧发送完毕后,在一段时间内如果没有继续访问,状态将消失。
顺序:数据帧到达防火墙→匹配状态→策略→路由等。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
