防火墙

防火墙

定义:一款具备防护功能网络设备

1.隔离网络

​ 将需要保护的网络与不信任网络进行隔离,隐藏信息并进行安全防护.

2.控制流量

​ 对进出防火墙的数据流进行限制

3.记录分析

​ 对进出数据检查,记录相关信息

1.防火墙的基本功能

​ 访问控制

​ 攻击防护

​ 冗余设计

​ 路由 交换

​ 日志记录

​ 虚拟专网VPN

​ NAT

2.衡量防火墙性能的5答指标

吞吐量:在不丢包的情况下单位时间内通过的数据包数量

时延:数据包的第一个比特进入防火墙到最后一比特从防火墙输出的时间间隔

丢包率:通过防火墙传送时所丢数据包数量占所发送数据包的比率

并发连接数:防火墙能够同时处理的点对点连接的最大数目

新建连接数:在不丢包的情况下每秒可以建立的最大连接数

3.防火墙区域概念

内部区域

DMZ区域:称为"隔离区",也称"非军事化区/停火区"

外部区域

4.防火墙的分类

按防火墙形态:

​ 软件防火墙

​ 硬件防火墙

按技术实现

​ 包过滤防火墙

​ 状态检测包过滤防火墙

​ 应用(代理)防火墙

​ WAF防火墙

5.包过滤防火墙

分组过滤防火墙:根据分组包的源,目的地址,端口号及协议类型,标志位确定是否允许分组包通过,所根据的信息来源于ip,ICMP,TCP或UDP等协议的数据包头.

优点:高效 透明

缺点:对管理员要求高,处理信息能力有限

6.应用网关型防火墙

应用代理防火墙:每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务.

优点:安全性高,检测内容

缺点:连接性能差,可伸缩性差

7.状态检测防火墙

从传统的包过滤发展而来,除了包过滤检测特性外,对网络的连接设置状态特性加以检测

优点:减少检查工作量,提高效率

​ 连接状态可以简化规则的设置

缺点:对应用层检测不够深入

8.防火墙的应用

标准应用

​ 透明模式

​ 路由模式

​ 混杂模式

高级应用

​ NAT HA IDS 反病毒 DDOS攻击 深度HTTP过滤 反垃圾邮件