防火墙

防火墙和路由器最大的不同：防火墙有默认策略
防火墙的性能指标：
1、吞吐量：防火墙能同时处理的最大数据量
衡量标准：吞吐量越大，性能越高
2、时延：数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标
衡量标准：延时越小，性能越高
3、丢包率：在连续负载的情况下，防火墙由于资源不足，应转发但是未转发的百分比
衡量标准：丢包率越小，防火墙的性能越高
4、背靠背：缓存
衡量标准：背靠背主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量（例如：NFS，备份，路由更新等），而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。
5、并发连接数：访问量
并发连接数指标越大，抗攻击能力也越强

1.包过滤防火墙：双向ACL+NAT
特点：逐包检查的包过滤技术；本质是使用静态ACL。
缺点：检查数据时是逐包检查，效率低，大多数使用静态ACL
漏洞：
1）可以通过伪造数据包突破
2）可以通过不停的给防火墙的公网地址发送TCP的SYN包不发ACK占满防火墙的TCP等待表，使防火墙无法建立新的TCP连接（半开攻击）
特殊的ACL：est 外部向内部主动连接，必须是rst或ack置位，才能通信
RST：强制释放连接

自反ACL：有动态意味，但还是静态ACL；当内部有包向外部发送，自反ACL将这个包的源目倒置的放行写在另一个ACL挂在回来的口，如果外部主动向内部发包，ACL中没有记录会被拒绝

应用代理防火墙：
出现的原因：攻击和防御不对等，攻击技术高于防御技术
状态检测防火墙：
符合预知就进来，动态ACL，只检查第一个包，后面的包只看状态

1.检查路由或者mac，查看能否出去（有无出接口）
2.检查nat
3.检查策略
4.创建会话

超时机制：1）握手阶段超时时间一般60s，防止tcp的半开攻击（若tcp会话不回复ack，建立多个tcp会话之后two—way timeout表的内存将会使用完，正常的流量将不会加表，这种攻击方式是无解的，智能等待），是一种防止dos攻击的方法。（dos攻击的防御方法：在主机上建立一个cookie表记录与其他主机握手的源地址，如果该主机的上一次的tcp链接没有回复ack，又发送了另一次tcp请求，则第二（次数可以自行设置）次的tcp请求将不予理会，tcp包将被丢弃。这种方法对于ddos攻击无效，ddos攻击是找很多台pc来进行攻击）防火墙技术可以设置会话表的链接次数，也可以防止dos攻击。
2）握手成功一般会话表的超时时间为60min
ftp的问题：ftp在回包时回将端口号换掉，导致流量无法通过防火墙
解决方法：端口检测技术：检查21号端口的传输数据的数据部分（应用层）查看协商端口号，然后在防火墙上开放次端口。这种技术会使得防火墙性能下降
Udp的问题：udp只有源目端口号，没有flag字段，所以检查的元素会变少，防御效果会减弱。（dos攻击成果显著的大都用udp来完成）而且udp是无连接的，只能通过源目端口判断。对于防火墙来讲也会创建虚链接会话表。
ICMP的问题：没有端口，防御能力更低，可以利用ICMP打隧道来攻击，故一般防火墙会默认禁止ICMP回包。
缺点：只检查三层和四层，不能防御病毒

UTM：同意威胁管理，多次拆包，多次检查，应用层性能低
深度包/流检测技术：检测应用层的内容

AV：防病毒
IPS：入侵检测
WAF：web应用防火墙
做防火墙先划分区域，分等级，流量从低安全区到高安全区，就是inbount流量
高安全区到低安全区，就是outbount流量
策略是做在区域里 ，信任区域数值低， DMZ 非军事管理区