防火墙简介

一、定义

1、功能

访问控制、地址转换、网络环境支持、带宽管理功能、入侵检测和攻击防御、用户认证、高可用性

2、防火墙安全策略

        （1）定义:安全策略是按一定规则，控制设备对流量转发以及对流量进行内容安全一体化检测的策略。规则的本质是包过滤。

主要应用：对跨防火墙的网络互访进行控制；对设备本身的访问进行控制。

        （2）原理:数据流量经过防火墙时，查找防火墙安全策略（根据定义的规则对经过防火墙的流量进行过滤筛选、处理数据包），判断是否允许下一步操作。

        （4）分类:分为域间安全策略、域内安全策略、接口包过滤三类。

二、发展历程

1、包过滤防火墙（一个严格的规则表）

        （1）判断信息：数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口（五元组）。

        （2）工作范围：网络屋、传输层（3-4层)

        （3）和路由器的区别：普通的路由器只检查数据包的目标地址。并选择一个达到目的地址的最佳路径。防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。

        技术应用：包过滤技术。

        优势：对于小型站点容易实现，处理速度快，价格便宜。

        劣势：规则表很快会变得庞大复杂难运维，只能基于五元组。

2、传统防火墙(应用代理防火墙)——每个应用添加代理

        （1）判断信息：所有应用层的信息包

        （2）工作范围：应用层（7层）

        （3）和包过滤防火墙的区别：包过滤防火墙工作基于3-4层。通过检验报头进行规则表匹配。应用代理防火墙工作第7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务。只检查数据部分。

        技术应用：应用代理技术。

        优势：检查了应用层的数据。

        劣势：检测效率低。配普运维难度极高，可伸缩性差。

3、状态检测防火墙

        （1）判断信息:P地址、端口号、TCP标记

        （2）工作范围:数据链路层.网络层、传输层(2-4层)

        （3）和包过滤防火墙的区别：包过滤防火墙工作基于3-4层，通过桧验报头进行规则表匹配。是包过滤防火墙的升级版，一次检查建立会话表。后期直接按会话表放行。只检查报头

        （4）技术应用:状态检测技术

        优势:主要检查3-4层能够保证效率，对TCP防御较好 

        劣势:应用层控制较弱。不检查数据区

4、入侵检测系统（IDS）—网络摄像头

        它是通过旁路部署或多点部署的方式部署在网络上，工作在2-7层上。通过端口镜像的部署方式对流量攻击事件进行监控，属于一个事后呈现的系统，相当于网络上的监控摄像头。主要目的是为了帮助管理员清晰的了解到网络环境中发生了什么事情。

        分析方式∶基于规则入侵检测、基于异常情况检测、统计模型分析呈现。

5、入侵防御系统(IPS)——抵御2-7层已知威胁

        （1）部署方式:串联部署

        （2）工作范围:2-7层

        （3）工作特点:根据已知的安全威胁生成对应的过滤器（规则)，对于识别为流量的阻断，对于未识别的放通。

        （4）目的:IPS主要是针对已知威胁进行防御。

        （5）分析方式：特征检测、协议分析、异常检测

6、防病毒网关(AV)——基于网络侧识别病毒文件

        （1）判断信息:数据包

        （2）工作范围:2-7层

        （3）目的:防止病毒文件通过外网络进入到内网环境

        （4）和防火墙的区别

                

7、Web应用防火墙(WAF)———专门用来保护web应用

        （1）判断信息:http协议数据的request和response

        （2）工作范围:应用层(7层)

        （3）目的:防止基于应用层的攻击影响Web应用系统

        （4）主要技术原理:

        ①代理服务:会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制。

        ②特征识别:通过正则表达式的特征库进行特征识别。

        ③算法识别:针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等。

8、统一威胁管理(UTM)——多合一安全网关

        （1）包含功能:FW、IDS、IPS、AV

        （2）工作范围:2-7层〔但是不具备web应用防护能力)

        （3）目的:将多种安全问题通过一台设备解决

        （4）优点:功能多合一有效降低了硬件成本、人力成本、时间成本

        （5）缺点:模块串联检测效率低，性能消耗大

9、下一代防火墙(NGFW)——升级版的UTM

        （1）包含功能:FW、IDS、IPS、AV、WAF

        （2）工作范围:2-7层

        （3）和UTM的区别:与UTM相比增加的web应用防护功能;UTM是串行处理机制，NGFW是并行处理机制;NGFW的性能更强，管理更高效。

三、防火墙性能指标

        1、吞吐量

        （1）吞吐量:防火墙能同时处理的最大数据量

        （2）有效吞吐量:除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率。

        （3）衡量标准:吞吐量越大，性能越高

        2、时延

        （1）定义:数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标。

        （2）用于测量防火墙处理数据的速度理想的情况，测试的是其存储转发(Store andForward)的性能。

        （3）衡量标准:延时越小，性能越高

3、丢包率

        （1）定义:在连续负载的情况下，防火墙由于资源不足，应转发但是未转发的百分比。

        （2）衡量标准:丢包率越小，防火墙的性能越高

4、背靠背

        衡量标准:背靠背主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量(例如:NFS，备份，路由更新等)，而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。

5、并发连接数

        （1）定义:由于防火墙是针对连接进行处理的，并发连接数目是指防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。

        （2）衡量指标:并发连接数指标越大，抗攻击能力也越强。