目錄

防火墻

防火墻的基本概念

防火墻的基本功能

防火墻產品及廠家

區域隔離

防火墻的分類

防火墻的發展歷史

?包過濾防火墻

?應用網關/應用代理防火墻

?狀態檢測防火墻 （主流）

?DPI防火墻（Deep Packet Inspection）

衡量防火墻性能的5大指標

防火墻的工作模式

1、標準應用 ——透明模式

2、標準應用 ——路由模式 /NAT模式

3、標準應用 ——混雜模式

4、高級應用—雙機熱備

防火墻策略分析-最安全的防火墻架構

實驗

---

防火墻

防火墻的基本概念

防火墻的定義：是一款具備安全防護功能網絡設備： ? 隔離網絡： ? 將需要保護的網絡與不可信任網絡進行隔離，隱藏信息并進行安全防護

防火墻可以完全替代路由器、交換機的（防火墻的本職工作不是為了路由，而是為了隔離網絡）
防火墻把ip和路由配好后也不能全網互通（默認所有人都不能通過防火墻，完全隔離），路由器把ip和路由配置好后就可以全網互通
防火墻的本職工作并不是殺病毒、殺木馬，而是在三層和四層設備上隔離網絡、放行流量

?

防火墻的基本功能

防火墻基本功能： ? 訪問控制 （策略） ? 攻擊防護 ? 冗余設計 ? 路由、交換 ? 日志記錄 ? 虛擬專網VPN ? NAT

?

防火墻產品及廠家

檢測DOS攻擊（deny of service拒絕服務攻擊），DDOS（distribute ~ 分布式拒絕訪問攻擊）【把服務占滿了】

區域隔離

防火墻區域概念： ? 內部區域 （inside或者trust信任區） ? DMZ區域：稱為“隔離區”，也稱“非軍事化區/停火區” （內網服務器） ? 外部區域 （outside或者untrust非信任區域）
這三個區域要想互相訪問必須要經過防火墻，而防火墻默認不允許任何流量通過，可以通過寫策略來放行一部分流量

防火墻一般寫單向策略（和路由器不同），防火墻可以做到單項訪問
一般是內網到外網全部放行，從內網到dmz全部放行，從dmz到外網全部放行
思科Csico一般是把內部區域叫“高區域”，DMZ 區域叫“中區域”，外部區域叫“低區域”——》高區域向低區域走一律放行，低向高一律不放行

?

防火墻的分類

WAF防火墻一般不會部署在公司總出口，一般部署在web服務器的外圍

IDS （入侵檢測系統）Intrusion Detection Systems
IPS （入侵防御系統）?Intrusion Prevention System

防火墻的發展歷史

?包過濾防火墻

最早的防火墻技術之一，功能簡單，配置復雜 （已經被淘汰，包過濾---基于三層來過濾） 也叫分組過濾防火墻（Packet Filtering）。 根據分組包的源、目的地址，端口號及協議類型、標志位確定是否允許分組包通過。 所根據的信息來源于IP、ICMP、TCP或UDP等協議的數據包頭（Packet Header）。 優點：高效、透明 缺點：對管理員要求高、處理信息能力有限

?應用網關/應用代理防火墻

最早的防火墻技術之二，連接效率低，速度慢 也叫應用代理防火墻 每個代理需要一個不同的應用進程，或一個后臺運行的服務程序，對每個新的 應用必須添加針對此應用的服務程序，否則不能使用該服務。 優點：安全性高，檢測內容 缺點：連接性能差、可伸縮性差
員工在和防火墻對話，防火墻在和服務器在對話，借此隱藏內網
防火墻對外代理員工，對內代理服務器

?狀態檢測防火墻 （主流）

這個防火墻優先匹配狀態，這個狀態只有在放行之后才會有策略，又出才有回，沒出主動進是進不來的
只要單方向寫策略就行

現代主流防火墻，速度快，配置方便，功能較多 從傳統包過濾發展而來，除了包過濾檢測的特性外，對網絡連接設置狀態特性加以 檢測。 優點 減少檢查工作量，提高效率 連接狀態可以簡化規則的設置 缺點：對應用層檢測不夠深入

他能檢測哪個數據包是回包（有狀態了）回包滿足狀態特征

?DPI防火墻（Deep Packet Inspection）

未來防火墻的發展方向，能夠高速的對第七層數據進行檢測（高速應用層防火墻）

衡量防火墻性能的5大指標

1、吞吐量：在不丟包的情況下單位時間內通過的數據包數量 2、時延：數據包第一個比特進入防火墻到最后一比特從防火墻輸出的時間間隔 3、丟包率：通過防火墻傳送時所丟失數據包數量占所發送數據包的比率 4、并發連接數：防火墻能夠同時處理的點對點連接的最大數目 5、新建連接數：在不丟包的情況下每秒可以建立的最大連接數

?

?

防火墻的工作模式

1、標準應用 —— 透明模式

? 透明模式/橋模式一般用于用戶網絡已經建設完畢，網絡功能基本已經實現的情況下，
用戶需要加裝防火墻以實現安全區域隔離的要求。 ?一般將網絡分為內部網、DMZ區和外部網 透明模式的防火墻工作在二層
這張圖的防火墻端口是二層端口不代表防火墻內部構造就是二層
透明模式就是大家都在同一網段

2、標準應用 —— 路由模式 / NAT模式

這里防火墻是工作在三層

? 路由/NAT模式一般用于防火墻當作路由器和NAT設備連接上網的同時，提供安全過濾功能。 ?一般將網絡分為內部網、DMZ區和外部網 SNAT：源網絡地址轉換 DNAT：目標網絡地址轉換
內向外走是做源轉換，外往內走是只做目標轉換

3、標準應用 —— 混雜模式

? 一般網絡情況為透明模式和路由模式的混合。

?

4、高級應用—雙機熱備

防火墻策略分析-最安全的防火墻架構

防火墻部署

?

防火墻配置

實驗

詳細過程：https://blog.csdn.net/Until_U/article/details/107089913

?

?

?

?

?

?

總結

以上是生活随笔為你收集整理的【CyberSecurityLearning 21】防火墙的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。