网络安全-防火墙

1.什么是防火墙？

它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络

2.状态防火墙的工作原理 

状态检测防火墙基本保持了简单包过滤防火墙的优点，性能比较好，同时对应用是透明的，在此基础上，对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包，不关心数据包状态的缺点，在防火墙的核心部分建立状态连接表，维护了连接，将进出网络的数据当成一个个的事件来处理。

 

3. 防火墙如何处理双通道协议？

双通道协议指控制层流量和数据层流量不在同一个端口，比如FTP的主动模式，登录使用21端口，然后沟通一个随机端口进行数据传输，在状态防火墙中，无法得知协议沟通得到的端口，所以无法放行数据层的流量。这就需要另一个协议ASPF（应用层报文过滤）登场，该协议可以读取指定协议的协商端口的报文，并将协商出的端口加入server-map表，用来放行流量，相当于创建了一条临时的精细的安全策略。

 

4.防火墙如何处理nat？

1) 当请求的流量进入USG防火墙的入接口后，防火墙会查找目的NAT转换表，匹配请求的目的地址是否需要转换；

2) 如果命中转换条目，目的地址会被转换，不命中将会直接送到下一个流程；

3) 查找路由表，如命中路由表条目则送到下一个流程，路由表没匹配将会被丢弃；

4) 接下来会送到安全策略里面检查，如果检查匹配安全策略的permit条目，则被放行进入下一个流程，否则请求将会被丢弃（安全策略需要配置业务流量最开始的源IP地址和最终的目的IP地址）；

5) 匹配源NAT转换表，如果命中则会对源地址进行转换并创建会话表，否则不进行转换直接创建会话表；

6) 流量从出接口送出。

 

5.防火墙的发展历史

1)第一代，包过滤防火墙
①访问控制列表Access Control List
在Routing&Switching主要学习访问控制列表有两种
-标准访问控制列表，简单，高效，但是控制元素单一,只能基于IP
-扩展访问控制列表，相对标准访问控制列表复杂，但是挖制元素更为丰富，例如基于源目IP地址，源目端口号，协议

2)第二代，代理防火墙
①类似于中间人(中介) ,能够代替请求发起者，向被请求者发送数据包
②功能单一，性能有限，没有成为防火墙市场主流
③目前，代理防火墙模型被用于SSL VPN中

3)第三代，状态检测防火墙
①什么是初始化流量?
整个沟通开始的第-个数据包，就是初始化流量，或叫首包流量
②什么是状态化表项?
当首包穿越防火墙时，防火墙会记录该数据包的信息(例如源目IP地址、源目端口号、协议)
然后把以上信息存放到状态化表项
③什么是状态检测技术?
此时，返回的流量，防火墙首先检查是否存在匹配该流量的状态化表项
如果有，则流量直接放行
如果没有，检查访问控制策略，
若访问控制策略放行，则流量可以转发
若访问控制策略没有放行，则流量直接被丢弃
④状态检测防火墙是由哪一个安全厂商首推的概念?
CheckPoint,国际防火墙排名第一的安全厂商

4)下一代防火墙
①现在安全厂商大力推荐的一个产品
②下一代防火墙特征:
一个数据包，一条策略，包含所有检查项的执行
趋势:可视化
③下一代防火墙是由哪一个安全厂商首推的概念?
PaloAlto,国际防火墙排名第一的安全厂商