传统防火墙的缺陷
- 只能看五元组/基本特征,比如http报文中的host字段表示访问的网站,而看不到应用层数据具体内容,例如sql注入自己添加的sql语句属于数据正文部分,传统防火墙就检测不出来这是攻击
- 主要拦截低安全区域到高安全区域发起的访问
- 属于典型的事前产品,规则都已经事先定好,无法精确针对攻击时候的流量
- 仅靠传统防火墙防护能力有限
- 传统的安全部署是打补丁式的,需要什么功能,就添加什么设备,最后导致物理上的臃肿,设备管理困难,单点故障率高等问题
下一代防火墙与传统防火墙的区别
- 安全可视
设备对业务可视:深度化数据识别,检测到数据正文层次,知道这个数据包具体是干嘛的
客户对攻击可视:配置过程图形化,防御动态图形化,日志记录图形化 - 持续检测
事前:判断访问是否是威胁
事中:检测数据流是否具有攻击性质,比如频繁访问系统某个端口
事后:检测是否存在沦陷主机的特征,或者是审计等 - 功能集成:下一代防火墙不仅仅只有少数几个功能,而是防毒、行为管理、杀毒网关等多种产品的集成
统一威胁管理UTM
- 对传统安全设备(AF,AV,WAF,IPS等)进行物理集成
- 降低单点故障概率,消除兼容性问题,消除性能瓶颈,节约成本空间,部署简化
- 模块独立工作,存在重复解析
下一代防火墙特点
- 物理上、逻辑上集成模块,消除了UTM的缺点
- 可视化操作:具体分为业务可视、威胁可视
- 持续检测:提供事前、事中、事后的全程监测
部署模式
- 路由模式:路由功能+防火墙功能;支持防火墙拥有的全部功能;对拓扑改变较大
- 透明模式:交换功能+防火墙功能;不支持路由;对拓扑改变较小
- 虚拟网线模式:做到极致的透明模式,看成网线+防火墙,仅适合防火墙只有一个出入口的场景
- 混合模式:给内网用户提供路由模式(三层接口),同时给服务器提供透明模式(二层接口,服务器具有公网IP,不需要NAT的情景)
- 旁路模式:仅支持安全审计,针对基于TCP的服务具备一定安全能力
对应的接口就分为:路由接口、透明接口、成对出现的虚拟网线接口、镜像接口
深信服下一代防火墙组网案例
部署逻辑:
1.查看现有设备接口配置
2.内网网段规划,写回程路由
3.服务器是否需要映射,内网是否需要NAT
4.内网有哪些访问权限(ACL访问控制)
5.进行安全策略配置
6.拓扑完整检测,连通性测试
配置思路:
1.配置接口地址、所属区域(安全/非安全)
2.配置路由(默认路由/回程路由)
3.配置代理上网(NAT)
4.配置应用控制策略,放通内网访问公网(ACL)
5.配置安全防护策略(IPS、DOS防护等)
这种组网,与服务器相连(DMZ区域)的接口为二层接口,服务器具有公网IP,与内网相连接口属于三层接口,外网接口也配置成二层接口,通过划分到vlan,添加ip,让vlan接口做虚拟网关,进行NAT转换