防火牆的基本概念
防火牆的定義:是一款具備安全防護功能網絡設備:
❖ 隔離網絡: ▪ 將需要保護的網絡與不可信任網絡進行隔離,隱藏信息並進行安全防護
防火牆的基本功能
❖ 訪問控制
❖ 攻擊防護
❖ 冗余設計
❖ 路由、交換
❖ 日志記錄
❖ 虛擬專網VPN
❖ NAT
防火牆產品及廠家舉例
防火牆產品:H3C U200系列
防火牆產品:juniper550M
天融信
區域隔離
防火牆區域概念:
▪ 內部區域
▪ DMZ區域:稱為“隔離區”,也稱“非軍事化區/停火區” (一般服務器都放在這個區域)
▪ 外部區域
防火牆的分類
https://zhuanlan.zhihu.com/p/95664193
按防火牆形態
1. 軟件防火牆
2. 硬件防火牆
按技術實現
1. 包過濾防火牆
2. 狀態檢測包過濾防火牆
3. 應用(代理)防火牆
4. WAF防火牆(Web Application Firewall)
5. 應用層防火牆
包過濾防火牆:
最早的防火牆技術之一,功能簡單,配置復雜
也叫分組過濾防火牆(Packet Filtering)。 根據分組包的源、目的地址,端口號及協議類型、標志位確定是否允許分組包通過。 所根據的信息來源於IP、ICMP、TCP或UDP等協議的數據包頭(Packet Header)。
優點:高效、透明
缺點:對管理員要求高、處理信息能力有限
應用網關/應用代理防火牆:
最早的防火牆技術之二,連接效率低,速度慢
也叫應用代理防火牆
每個代理需要一個不同的應用進程,或一個后台運行的服務程序,對每個新的應用必須添加針對此應用的服務程序,否則不能使用該服務。
優點:安全性高,檢測內容
缺點:連接性能差、可伸縮性差
狀態檢測防火牆:
現代主流防火牆,速度快,配置方便,功能較多
從傳統包過濾發展而來,除了包過濾檢測的特性外,對網絡連接設置狀態特性加以檢測。
優點:
- 減少檢查工作量,提高效率
- 連接狀態可以簡化規則的設置
缺點:對應用層檢測不夠深入
DPI防火牆(Deep Packet Inspection):
未來防火牆的發展方向,能夠高速的對OSI第七層數據進行檢測。
不可能是單純的五層防火牆,也需要帶狀態檢測功能。
衡量防火牆性能的5大指標
1、吞吐量:在不丟包的情況下單位時間內通過的數據包數量
2、時延:數據包第一個比特進入防火牆到最后一比特從防火牆輸出的時間間隔(有語音、視頻需求的。。。)
3、丟包率:通過防火牆傳送時所丟失數據包數量占所發送數據包的比率
4、並發連接數:防火牆能夠同時處理的點對點連接的最大數目
5、新建連接數:在不丟包的情況下每秒可以建立的最大連接數
防火牆的典型應用
標准應用—透明模式
透明模式/橋模式一般用於用戶網絡已經建設完畢,網絡功能基本已經實現的情況下, 用戶需要加裝防火牆以實現安全區域隔離的要求。
一般將網絡分為內部網、DMZ區和外部網。DMZ區和內部網是在同一個網段,防火牆這三個端口目前處於2層。工作在2層怎么對三層四層過濾呢?它的內部不一定在2層,類比三層交換機。三個區域還是隔離的、此時DMZ區域ping網關可以,但是網關不可以ping DMZ區域。工作在2層可以即插即用,原有網絡架構一點都不用變。
標准應用—路由/NAT模式
路由/NAT模式一般用於防火牆當作路由器和NAT設備連接上網的同時,提供安全過濾功能。SNAT是source NAT,PAT,源地址轉換;DNAT=Destination NAT,端口映射。這個時候,DMZ區和內部網就是倆網段,此時工作在三層。
標准應用—混雜模式
一般網絡情況為透明模式和路由模式的混合。
高級應用—雙機熱備
最安全的防火牆架構
