防火墻

基本概覽

是一款具備安全防護功能的網絡設備

防火墻技術主要是通過有機結合各類用于安全管理于篩選的軟件或硬件設備，體現形式采用規則的方式，從而幫助計算機網絡于其內、外網之間構建一道相對隔絕的保護屏障

隔離網絡：

將需 要保護的網絡與不可信任網絡進行隔離，隱藏信息并進行安全防護xia

一般情況下將防火墻放在區域的邊界，從而來保護整個區域的安全性

防火墻的基本功能

訪問控制（ACL）

攻擊防護

冗余設計（HSRP）

路由、交換

日志記錄

虛擬專用網絡

NAT

帶寬管理（Qos、服務訪問質量（流量管理），主要的目的，針對不同業務分配對應帶寬，從而保障關鍵性業務帶寬）

入侵防御（入侵檢測和防御）

用戶認證

高可用

區域隔離

防火墻區域概念

內部區域（員工，核心數據）

DMZ區域稱為“隔離區”，也稱“非軍事化區/停火區”（對外服務：網頁，郵件服務器）

外部區域

一般來說：

????????內部區域

????????????????內部區域能訪問外部區域（互聯網）

????????????????內部區域能訪問DMZ區域。

????????DMZ區域

? ? ? ? ? ? ? ? 能讓特點的ip地址的端口號（如80）被外部區域訪問

所以

? ? ? ? 黑客能夠通過80端口號的漏洞，控制網頁服務器，進而控制DMZ區域，但由于防火墻限制，無法攻擊到內部區域

防火墻的分類

按防火墻形態

? ? ? ? 1.軟件防火墻（Windows defender? ?Linux iptables Linux firewalld）

? ? ? ? 2.硬件防火墻（Cisco 華為USG ASA 啟明星辰（天清漢馬） 深信服（AF） 安恒（明御安全網關））

按技術實現

? ? ? ? 1.包過濾防火墻

? ? ? ? 2.狀態檢測包過濾防火墻

? ? ? ? 3.應用（代理）防火墻

? ? ? ? 4.WAF防火墻

? ? ? ? 5.應用層防火墻

性能劃分：百兆級、千兆級

結構劃分：單一主機、路由集成、分布式

防火墻的發展歷史

1.包過濾防火墻

? ? ? ? 判斷信息：五元組（通常是指由源IP地址，源端口，目的IP地址，目的端口，和? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??傳輸層協議號這五個量組成的一個集合）

????????工作范圍：3-4層

最早的防火墻技術之一，功能簡單，配置復雜

2.應用網關/應用代理防火墻

????????判斷信息：應用層數據（http、ftp......）

? ? ? ? 工作范圍：7層（應用層）

最早的防火墻技術之二，連接效率低，速度慢

3.狀態檢測防火墻

現代主流防火墻，速度快，配置方便，功能較多

????????判斷信息：IP地址、端口號、TCP標記

? ? ? ? 工作范圍：2-4層

4.web應用防火墻（WAF防火墻）

????????判斷信息：http協議數據（request、response）

? ? ? ? 工作范圍：7層（應用層）

5.多合一網關

? ? ? ? FW（防火墻）、IDS（入侵檢測）、IPS（入侵防御）、AV（防病毒）

? ? ? ? 工作范圍：2-7層

6.下一代防火墻（NGFW）

????????? FW（防火墻）、IDS（入侵檢測）、IPS（入侵防御）、AV（防病毒）、WAF

????????工作范圍：2-7層

????????NGFW是并行處理機制，會更高效

衡量防火墻性能的5大指標

1、吞吐量：在不丟包的情況下單位時間內通過的數據包的數量

2、時延：數據包第一個比特進入防火墻到最后一比特從防火墻輸出的時間間隔

3、丟包率：通過防火墻傳送時所丟失數據包數量占所發送數據包的比率

4、并發連接數：防火墻能夠同時處理的點對點連接的最大數目

5、新建連接數：在不丟包的情況下每秒可以建立的最大連接數

Windows defender的使用

添加DHCP入站規則

圖形化：

1.打開高級設置

?2.選擇入站規則——點擊右側新建規則

?3.選擇自定義規則

?4.根據自身需求選擇，我此處選擇所有程序

5.選擇ICMPv4

?6.指定要應用此規則的本地和遠程IP地址

防火墻的

7.允許連接

8.全選

?

?9.填寫名稱——完成

命令操作：

netsh advfirewall firewall

netsh advfirewall firewall add rule name="icmp" dir=in remoteip=192.168.0.2 protocol=icmpv4 action=allow

典型應用

標準應用

1、透明模式

透明模式/橋模式一般用于用戶網絡已經建設完畢，網絡功能基本已經實現的情況下，用戶需要加裝防火墻以實現安全區域隔離的要求

2、路由模式

3、混雜模式

一般網絡情況為透明模式和路由模式混合

實驗：驗證區域隔離及策略編寫

1.PC配置IP和網關

2.防火墻：創建區域--》接口加入到區域

3.接口配置IP、配置路由（本實驗不需要配置）

4.寫策略并驗證

5.配置nat，源轉換SNAT和目標轉換DNAT

HA

類似路由器的熱備份

?????????

?兩個防火墻相連的線稱為心跳線，用于查看對方狀態，同步兩個防火墻的配置

兩個防火墻的IP地址一致，其中一個防火墻除了連接心跳線的端口其他全部down掉

Cisco防火墻

ASA系列

1.防火墻的工作原理（狀態化防火墻）

2.在防火墻上配置ACL（大多都是命名ACL）

3.在防火墻上配置NAT（防火墻設備一般放在局域網的出口）

工作原理

1.系列

ASA5500系列

2.ASA防火墻狀態化防火墻

里面維護一張表：狀態化鏈接表（conn表）

? ? ? ? 源IP地址

? ? ? ? 目標IP地址

? ? ? ? IP協議（TCP/UDP）

? ? ? ? IP協議信息（端口號、序列號、控制位）

默認情況下，ASA對TCP和UDP協議提供狀態化鏈接，而對ICMP協議是非狀態化的

狀態化防火墻的處理過程

?ASA的安全算法

? ? ? ? 接口的安全級別

? ? ? ? 訪問控制列表

? ? ? ? 記錄conn表

? ? ? ? 連接表

????????檢測引擎（根據結構安全級別來決定數據是放通還是阻止）

? ? ? ? ? ? ? ? 默認情況下，ASA自動放通高安全級別訪問低安全級別，阻止低安全級別訪問高安全級別，安全級別一致，直接阻止

ASA接口

1、物理接口

? ? ? ? 基于防火墻自身模塊

2、邏輯接口

? ? ? ? 用來描述安全區域（inside（內網區域）、outside、DMZ）

? ? ? ? ? ? ? ? inside：安全級別設置為100

? ? ? ? ? ? ? ? outside：安全級別設置為0

? ? ? ? ? ? ? ? DMZ：安全級別設置為50

ASA配置ACL

1.標準

2.擴展?

總結

以上是生活随笔為你收集整理的网络安全学习（二十三）防火墙的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。