防火墙技术基础

防火墙

       主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

防火墙与交换机、路由器对比

 路由器与交换机的本质是转发，防火墙的本质是控制。

 防火墙与路由器、交换机是有区别的。

路由器用来连接不同的网络，通过路由协议保证互联互通，确保将报文转发到目的地；
交换机则通常用来组建局域网，作为局域网通信的重要枢纽，通过二层/三层交换快速转发报文；
防火墙主要部署在网络边界，对进出网络的访问行为进行控制，安全防护是其核心特性。路由器与交换机的本质是转发，防火墙的本质是控制。

现阶段中低端路由器与防火墙有合一趋势，主要也是因为二者互相功能兼具，变成all in one的目标，华为也发布了一系列中低端设备。

防火墙和路由器实现安全控制的区别

 目前市面上的路由器基本都带有简单的防火墙功能，不论是消费级还是企业级，可以实现一些诸如包过滤，IP过滤这样的功能。那么为什么还需要硬件防火墙呢？两者之间的差别如下：
背景：
       路由器的产生是基于对网络数据包路由而产生的。路由器需要完成的是将不同网段的数据包进行有效的路由管理。路由器所关心的是：能否将不同的网段的数据包进行路由从而进行通讯。
       防火墙是产生于人们对于安全性的需求。数据包是否可以正确的到达、到达的时间、方向等不是防火墙关心的重点，重点是这个数据包是否应该通过、通过后是否会对网络造成危害。
目的：
       路由器的根本目的是：保持网络和数据的“通”。
       防火墙根本的的目的是：保证任何非允许的数据包“不通”。
 核心技术：
       路由器核心的ACL列表是基于简单的包过滤，属于OSI第三层过滤。从防火墙技术实现的角度来说，防火墙是基于状态包过滤的应用级信息流过滤。
 安全策略：
       路由器的默认配置对安全性的考虑不够周全，需要做高级配置才能达到一些防范攻击的作用，其针对安全性的规则的部分比较复杂，配置出错的概率较高。
       有些防火墙的默认配置即可以防止各种攻击，更人性化的防火墙都是使用图形界面进行配置的，配置简单、出错率低。
 对性能的影响：
       路由器的设计初衷是用来转发数据包的，而不是专门设计作为全特性防火墙的，所以在数据转发时运算量非常大。如果再进行包过滤，对路由器的CPU和内存会产生很大的影响，这就是为什么路由器开启防火墙后，数据转发率降低的原因。而且路由器由于其硬件成本比较高，其高性能配置时硬件的成本都比较大。
       防火墙则不用作数据转发的工作，只要判断该包是否符合要求，是则通过，否则不通过，其软件也为数据包的过滤进行了专门的优化，其主要模块运行在操作系统的内核模式下，设计之时特别考虑了安全问题，其进行数据包过滤的性能非常高。
       由于路由器是简单的包过滤，包过滤的规则条数的增加，NAT规则的条数的增加，对路由器性能的影响都相应的增加，而防火墙采用的是状态包过滤，规则条数，NAT的规则数对性能的影响较小。
 防攻击能力：
       通常情况下，普通路由器不具有应用层的防范功能，不具有入侵实时检测等功能，如果需要具有这样的功能，就需要生级升级路由器的系统软件，此时不单要承担软件的升级费用，同时由于这些功能都需要进行大量的运算，还需要进行硬件配置的升级，进一步增加了成本。
 综上所述：用户是否使用防火墙的一个根本条件是用户对网络安全的需求。用户的网络拓扑结构的简单与复杂、用户应用程序的难易程度不是决定是否应该使用防火墙的标准。即使用户的网络拓扑结构和应用都非常简单，使用防火墙仍然是必需的和必要的；如果用户的环境、应用比较复杂，那么防火墙将能够带来更多的好处，防火墙将是网络建设中不可或缺的一部分，对于通常的网络来说，路由器将是保护内部网的第一道关口，而防火墙将是第二道关口，也是最为严格的一道关口。

安全区域

 防火墙主要部署在网络边界起到隔离的作用，那么在防火墙上如何来区分不同的网络呢？
 为了在防火墙上区分不同的网络，我们在防火墙上引入了一个重要的概念：安全区域（Security Zone），简称为区域（Zone）。安全区域是一个或多个接口的集合，是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”，一般来说，当报文在不同的安全区域之间流动时，才会受到控制。
   ⦁  我们都知道，防火墙通过接口来连接网络，将接口划分到安全区域后，通过接口就把安全区域和网络关联起来。通常说某个安全区域，就可以表示该安全区域中接口所连接的网络。

 在华为防火墙上，一个接口只能加入到一个安全区域中。
 华为防火墙产品上默认已经提供了三个安全区域，分别是Trust、DMZ和Untrust：
   ⦁  Trust区域，该区域内网络的受信任程度高，通常用来定义内部用户所在的网络。
   ⦁  DMZ区域，该区域内网络的受信任程度中等，通常用来定义内部服务器所在的网络。
   ⦁  Untrust区域，该区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络。
 在网络数量较少、环境简单的场合中，使用默认提供的安全区域就可以满足划分网络的需求。在网络数量较多的场合，还可以根据需要创建新的安全区域。
 防火墙上提供了Local区域，代表防火墙本身。凡是由防火墙主动发出的报文均可认为是从Local区域中发出，凡是需要防火墙响应并处理（而不是转发）的报文均可认为是由Local区域接收。
 Local区域中不能添加任何接口，但防火墙上所有接口本身都隐含属于Local区域。也就是说，报文通过接口去往某个网络时，目的安全区域是该接口所在的安全区域；报文通过接口到达防火墙本身时，目的安全区域是Local区域。

 不同的网络受信任的程度不同，在防火墙上用安全区域来表示网络后，怎么来判断一个安全区域的受信任程度呢？
 在华为防火墙上，每个安全区域都有一个唯一的安全级别，用1～100的数字表示，数字越大，则代表该区域内的网络越可信。
 对于默认的安全区域，它们的安全级别是固定的：Local区域的安全级别是100，Trust区域的安全级别是85，DMZ区域的安全级别是50，Untrust区域的安全级别是5。

 任意两个安全区域都构成一个安全域间（Interzone），并具有单独的安全域间视图，大部分的安全策略都需要在安全域间视图下配置。
 安全域间这个概念用来描述流量的传输通道。它是两个“区域”之间的唯一“道路”，如果希望对经过这条通道的流量进行控制，就必须在通道上设立“关卡”，也就是安全策略。

   ⦁  报文在两个安全区域之间流动时，我们规定：报文从低级别的安全区域向高级别的安全区域流动时为入方向（Inbound），报文从由高级别的安全区域向低级别的安全区域流动时为出方向（Outbound）。报文在两个方向上流动时，将会触发不同的安全检查。

 通常情况下，通信双方一定会交互报文，即安全域间的两个方向上都有报文的传输。而判断一条流量的方向应以发起该条流量的第一个报文为准。
 代表不同的网络，防火墙成为连接各个网络的节点。以此为基础，防火墙就可以对各个网络之间流动的报文实施管控。

包过滤技术

 包过滤防火墙只根据设定好的静态规则来判断是否允许报文通过，它认为报文都是无状态的孤立个体，不关注报文产生的前因后果。

会话表

 会话是通信双方的连接在防火墙上的具体体现，代表两者的连接状态，一条会话就表示通信双方的一个连接。防火墙上多条会话的集合就叫做会话表（Session table）。
 会话是动态生成的，但不是永远存在的。如果长时间没有报文匹配，则说明通信双方已经断开了连接，不再需要该条会话了。此时，为了节约系统资源，防火墙会在一段时间后删除会话，该时间称为会话的老化时间。​​​​​​​

安全策略

 防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。
 安全策略就是按一定规则控制设备对安全域间的流量进行转发和内容安全一体化检测的策略。安全域间是防火墙两个“区域”之间的唯一“道路”，安全策略就好比在这条通道上设立的“关卡” 。
 安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙。
 ​​​​​​​任意两个安全区域之间都有唯一的一条“道路”（安全域间），具有单独的安全域间视图，大部分的安全策略都需要在安全域间视图下配置。

 ​​​​​​​​​​​​​​防火墙能够识别出流量的属性，并将流量的属性与安全策略的条件进行匹配。如果所有条件都匹配，则此流量成功匹配安全策略。流量匹配安全策略后，设备将会执行安全策略的动作。
 ​​​​​​​​​​​​​​如果动作为“允许”，则对流量进行内容安全检测。如果内容安全检测也通过，则允许流量通过；如果内容安全检测没有通过，则禁止流量通过。
 ​​​​​​​​​​​​​​如果动作为“禁止”，则禁止流量通过。

未完待续。。。