-防火墙-
数据来源
一、防火墙的基本概念
防火墙的定义:是一款具备安全防护功能网络设备
◆ 隔离网络
将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护
防火墙基本功能:
◆ 访问控制 - ACL
◆ 攻击防护
◆ 冗余设计
◆ 路由、交换
◆ 日志记录
◆ 虚拟专网VPN
◆ NAT
二、区城隔离(防火墙的本职工作就是作网络隔离/局域隔离)
- 防火墙区域概念:
- 内部区域
- DMZ区域:称为“隔离区”,也称‘’非军事化区/停火区”
- 外部区域
三、防火墙的分类
按防火墙形态
- 软件防火墙
- 硬件防火墙·
按技术实现
- 包过滤防火墙
- 状态检测包过滤防火墙
- 应用(代理)防火墙
- WAF防火墙
- 应用层防火墙
| 单机防火墙 | 网络防火墙 | |
| 产品形态 | 软件 | 硬件或者软件 |
| 安装点 | 单台独立的Host | 网络边界处 |
| 安全策略 | 分散在各个安全点 | 对整个网络有效 |
| 保护范围 | 单台主机 | 一个网段 |
| 管理方式 | 分散管理 | 集中管理 |
| 功能 | 功能单一 | 功能复杂、多样 |
| 管理人员 | 普通计算机用户 | 专业网管人员 |
| 安全措施 | 单点安全措施 | 全局安全措施 |
| 结论 | 单机防火墙是网络防火墙的有益补充,但不能代替网络防火墙为内部网络提供强大的保护功能 | |
四、防火墙的发展历史
-
包过滤防火墙
最早的防火墙技术之一,功能简单,配置复杂
-
应用网关/应用代理防火墙
最早的防火墙技术之二,连接效率低,速度慢
优点:安全性高,检测內容
缺点:连接性能差、可伸缩性差
-
状态检测防火墙
现代主流防火墙,速度快,配置方便,功能较多
-
DPI防火墙( Deep Packet Inspection)
未来防火墙的发展方向,能够高速的对第七层数据进行检测
五、衡量防火墙性能的5大指标
- 吞吐量:在不丟包的情况下单位时间内通过的数据包数量
- 时延:数据包第一个比特进入防火墙到最后一比特从防火墙输出的时间间隔
- 丢包率:通过防火墙传送时所丢失数据包数量占所发送数据包的比率
- 并发连接数:防火墙能够同时处理的点对点连接的最大数目
- 新建连接数:在不丟包的情况下毎秒可以建立的最大连接数
六、防火墙的工作模式
标准应用
- 透明模式
- 路由模式
- 混杂模式
标准应用 一 透明模式
- 透明模式/桥模式一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下,用户需要加装防火墙以实现安全区域隔离的要求。
- 一般将网络分为内部网、DMZ区和外部网
- 防火墙的端口工作在二层
标准应用 一 路由/NAT模式
- 路由/NAT模式一般用于防火墙当作路由器和NAT设备连接上网的同时,提供安全过滤功能。
- 一般将网络分为内部网、DMZ区和外部网
- 防火墙的端口工作在三层
SNAT:源IP地址转换 DNAT:目标IP地址转换
路由器的执行规则:数据从内网往外网走做源地址转换,数据从外往内走做目标地址转换
标准应用 一 混杂模式
- 一般网络情况为透明模式和路由模式的混合。
- 防火墙的端口一部份工作在三层,另一部分工作在二层
总结:数据来源
-
透明网桥模式:若用户不想改变原有的网络拓扑结构和设置,可以将防火墙设置成桥模式。在桥模式下,防火墙的各个网口所连接的网络相互之间的访问是透明的,所有网口设备将构成一个网桥。
-
路由模式:是防火墙的基本工作模式。在该模式下,防火墙的各个网口设备的IP地址都位于不同的网段。
- 混杂模式:指防火墙部分网口在路由模式下工作,部分网口在透明桥模式下工作,即某些子网之间以路由方式通信,而某些子网可以透明通信。
- DMZ区:是放置公共信息的最佳位置,它对外网或内网用户来说是开放的、透明的。公司客户、潜在客户及外部访问者不用通过内网就可以直接获得他们所需要的信息。公司中机密的、私人的信息则需安全地存放在内部局域网中,即DMZ的后面。DMZ中服务器不应包含任何商业机密、资源代码或私人信息。