防火墻相關(guān)

防火墻的基本概念（安全防護(hù)功能網(wǎng)絡(luò)設(shè)備）

隔離設(shè)備，負(fù)責(zé)隔離網(wǎng)絡(luò)，將需要保護(hù)的網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)進(jìn)行隔離，隱藏信息并進(jìn)行安全防護(hù)

防火墻也可以配路由，屬于三層以上設(shè)備，能夠代替路由，和路由的根本區(qū)別是防火墻要做限制，防火墻的本質(zhì)功能就是隔離，防火墻是默認(rèn)所有都不能過，寫完策略之后，少部分能通過，路由是默認(rèn)所有人都能過，寫完策略之后，一少部分人不能過。

泛洪攻擊，運(yùn)營商清洗流量

Dos拒絕服務(wù)攻擊與DDOS分布式拒絕攻擊

防火墻的基本功能（防火墻完全可以替代路由器）

訪問控制（ACL）

攻擊防護(hù)

-----------------------------------------

冗余設(shè)計

路由交換

日志記錄

虛擬專網(wǎng)VPN

NAT

防火墻產(chǎn)品及廠家

防火墻產(chǎn)品：H3C U200（新華三）

新建連接數(shù)：同一時間，創(chuàng)建的會話數(shù)

?

?

啟明星辰

深信服

國外：思科，F5

************區(qū)域隔離*************

防火墻區(qū)域概念：

• 內(nèi)部區(qū)域（Inside/trust/Insight）
• DMZ區(qū)域:成為‘隔離區(qū)’，‘非軍事化區(qū)/停火區(qū)’
• 外部區(qū)域(outside/untrust/outsigtht)

內(nèi)網(wǎng)訪問外網(wǎng)全部通過（單向策略），因?yàn)榉阑饓δJ(rèn)（不寫策略的時候），默認(rèn)都不能通過。

先將區(qū)域進(jìn)行隔離，然后再寫策略

?

正規(guī)的策略：

從內(nèi)網(wǎng)到外網(wǎng)全部放行

從內(nèi)網(wǎng)到DMZ全部放行

從DMZ到外網(wǎng)全部放行

?

為什么設(shè)置DMZ區(qū)域？

凡是對外發(fā)布的服務(wù)器都建議放在DMZ區(qū)域，絕對禁止從DMZ到inside寫策略，設(shè)置DMZ區(qū)域，如果DMZ區(qū)域淪陷的話，由于防火墻，DMZ到Inside是全部禁止的，因而能夠保證核心業(yè)余的安全性。

?

對于思科而言：內(nèi)網(wǎng) DMZ 外網(wǎng) 分別稱為高 中 低

高區(qū)域向低區(qū)域走是放行的，反之需要寫策略

普通防火墻是第一道防線，可能是開通了外網(wǎng)到DMZ區(qū)域的一個策略，某個IP的80-端口可以被訪問，但是想做進(jìn)一步檢查，想攻擊web應(yīng)用，第一道防火墻已經(jīng)做不到了，因?yàn)橐呀?jīng)寫策略了，允許放行，沒有能力基于五層檢查，這個時候需要在這個服務(wù)器前面在放一個防火墻，也就是WEB應(yīng)用防火墻（WAF）WAF的價格要比普通防火墻要貴，WAF一般放在內(nèi)網(wǎng)，一般公司出口絕不會放WAF，這樣做的好處：

公司的第一道防火墻先把大部分攻擊干掉（因?yàn)殚_放策略的時候，只是一小部分流量進(jìn)來了），例如你想攻擊445端口，以小部分流量進(jìn)來之后，其中存在一點(diǎn)點(diǎn)的帶有攻擊的流量，通過內(nèi)網(wǎng)的防火墻（WAF）進(jìn)行防護(hù)。

?

IPS（入侵防御系統(tǒng)）（根據(jù)特征庫（病毒庫）直接干掉進(jìn)來之后的流量，將病毒什么的編成特征碼，將特征碼更新至數(shù)據(jù)庫，只要進(jìn)來的流量滿足特征庫，直接干掉）

IPS是犧牲性能來換取安全

**************************************************************************

IPS很貴，一般小公司部署IDS（入侵檢測系統(tǒng)），一般IDS是旁路分析，你該怎么通過怎么通過，我只是把所有的流量做了個備份，交給IDS慢慢分析，IDS最后生成一個報告。IDS只是給出預(yù)警，并不能進(jìn)行防御

IPS 和IDS主要是做五層的防御，三層四層交給防火墻做第一道防御，里面可以配IPS,IDS或者WAF

如果內(nèi)網(wǎng)員工訪問了非法或者帶有病毒的網(wǎng)站，會有回包，但是防火墻認(rèn)為判斷為回包，并不會進(jìn)行阻攔，這個時候有IPS就可以產(chǎn)生很好的防御效果。如上圖所示，

IPS沒有方向沒有分區(qū)這么一說，只要通過就檢測每個包是否有威脅。

***************************************************************************

防火墻的分類

按照防火墻的種類

硬件防火墻

軟件防火墻

?

按技術(shù)實(shí)現(xiàn)

包過濾防火墻（已經(jīng)被淘汰了，是不是回包無法檢測）

狀態(tài)檢測防火墻

應(yīng)用（代理）防火墻

WAF防火墻

應(yīng)用防火墻

應(yīng)用代理防火墻（防火墻對外代理員工，對內(nèi)代理服務(wù)器）

應(yīng)用網(wǎng)關(guān)型防火墻，也叫應(yīng)用代理防火墻

每個代理需要一個不同的應(yīng)用進(jìn)程，或一個后臺運(yùn)行的服務(wù)程序，對每個新的應(yīng)用必須添加針對此應(yīng)用的服務(wù)程序，否則不能使用該服務(wù)。

優(yōu)點(diǎn)：安全性高，檢測內(nèi)容

缺點(diǎn)：鏈接性能差，可伸縮性差

?

*********現(xiàn)在主流的防火墻-----狀態(tài)檢測防火墻*************

防火墻先做狀態(tài)匹配，狀態(tài)匹配永遠(yuǎn)是第一步，無論是進(jìn)，還是出。

有狀態(tài)就能回，沒有狀態(tài)就是通過策略，但是策略就沒有寫。

############################################################################

防火墻的工作模式（適用于所有安全設(shè)備）：

透明模式

路由模式

混雜模式

防火墻的工作模式及部署類型

?

?

?

總結(jié)

以上是生活随笔為你收集整理的渗透测试之防火墙的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯，歡迎將生活随笔推薦給好友。