防火墙的基本原理及应用程度

传统防火墙

一、防火墙的简单介绍：

防火墙是一个由计算机硬件和软件组成的系统，部署于网络边界，是内部网络和外部网络之间的连接桥梁，同时对进出网络边界的数据进行保护，防止恶意入侵、恶意代码的传播等，保障内部网络数据的安全。，防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，防火墙技术是建立在网络技术和信息安全技术基础上的应用性安全技术

二、防火墙的发展史：

2.1包过滤防火墙----访问控制列表技术—三层技术

包过滤型防火墙运用ACL技术，可以对数据进行限制，此技术限制较大，无法动态改变策略，人工干预。安全性得不到保证。

2.2代理防火墙----中间人技术—应用层

降低包过滤颗粒度的一种做法，区域之间通信使用固定设备。代理防火墙可以针对应用层进行检测和扫描，可有效地防止应用层的恶意入侵和病毒。但是只能针对特定的应用来实现，应用间不能通用。 代理防火墙的缺点：是对系统的整体性能有较大的影响，系统的处理效率会有所下降，因为代理型防火墙对数据包进行内部结构的分析和处理，这会导致数据包的吞吐能力降低。

2.3状态防火墙—会话追踪技术—三层、四层

在包过滤（ACL表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。且具有首包机制--对第一个通过的包扫描安全策略，如果可以通过则创建会话表，后面的包则可以通过查看会话表来通行。

2.4下一代防火墙

解决了多个功能同时运行时性能下降的问题。同时还可以基于用户、应用和内容进行管控。

三、防火墙的安全区域

Trust区域：该区域内网络的受信任程度高，通常用来定义内部用户所在的网络。 DMZ区域：该区域内网络的受信任程度中等，通常用来定义内部服务器所在的网络 Untrust区域：该区域代表的是不受信任的网络，通常用来定义Internet等不安全的网络。 local区域：该区域的网络受信任度极高，通常用来表示防火墙本身 每个安全区域都有自己的优先级，用1-100的数字表示，数字越大，则代表该区域内的网络越可信。

四、防火墙原理及工作原理

控制：在网络连接点上建立一个安全控制点，对进出数据进行限制 隔离：将需要保护的网络与不可信任网络进行隔离，隐藏信息并进 行安全防护 记录：对进出数据进行检查，记录相关信息

1）、防火墙工作原理

防火墙放置在系统的硬件或软件级别，以保护其免受恶意流量的攻击。根据设置，它可以保护单台计算机或整个计算机网络。设备根据预定义规则检查传入和传出流量。 通过从发送方请求数据并将其传输到接收方来进行Internet上的通信。由于无法整体发送数据，因此将其分解为组成初始传输实体的可管理数据包。防火墙的作用是检查往返主机的数据包。

五、防火墙的部署

1）、防火墙的部署位置

可信网络与不可信网络之间，不同安全级别网络之间，两个需要隔离的区域之间

2）、防火墙的部署模式

防火墙在实际的部署过程中主要有六种模式可供选择： 2.1)基于TCP/IP协议三层的NAT模式：

防火墙会将内部网络中的私有IP地址映射为公共IP地址

2.2)基于TCP/IP协议三层的路由模式：

防火墙被配置为作为网络的路由器，负责将数据包从源地址路由到目标地址；在路由模式下，防火墙不仅可以进行基本的安全策略检查，还可以根据源IP地址、目标IP地址、端口号等信息对数据包进行更为精细的过滤和控制

2.3)基于二层协议的透明模式：

防火墙被配置为工作在网络的二层（数据链路层），以透明地监控和过滤网络流量；在透明模式下，防火墙以桥接的方式连接在网络中，作为网络中的一个节点，不是路由器或网关。监视网络流量，并根据预定义的安全策略对流量过滤和控制，同时保持网络的连通性，使网络中的设备感觉不到防火墙的存在。

透明模式的主要特点：是防火墙对网络流量的处理是透明的，不需要对网络设备进行任何修改或配置。网络设备可以继续使用原有的IP地址和MAC地址，并保持原有的网络配置不变。这种模式适用于需要对网络进行安全保护，但又不希望对现有网络架构和设备进行更改的场景，例如需要保护虚拟局域网（VLAN）内部的通信。

2.4)单防火墙（无DMZ）部署方式：

单防火墙（无DMZ）部署方式是一种简单的防火墙配置模式，其中只有一台防火墙设备用于保护内部网络免受外部网络的攻击。在单防火墙（无DMZ）部署方式存在一些潜在的安全风险。因为所有的流量都需要通过防火墙，所以如果防火墙遭受攻击或故障，整个内部网络都将暴露在风险之中

2.5)单防火墙（DMZ）部署方式：

在防火墙部署模式中，单防火墙（DMZ）部署方式是一种常见的网络安全架构。在单防火墙（DMZ）部署方式中，一台防火墙设备被放置在内部网络和DMZ区域之间，负责保护内网免受外网攻击。防火墙根据事先配置的规则和策略，检查和过滤通过它的流量。这样可以实现以下功能：

• 外网无法直接访问内网的设备，增加内部网络的安全性。

• DMZ区域中的公共服务和服务器可以对外提供访问，同时受到防火墙的保护，减少了对内网的风险。

• 防火墙可以根据配置的规则控制流量的转发和访问权限，提供更精细的安全控制。

2.6)双防火墙部署方式：

在防火墙部署模式中，双防火墙部署方式是一种更为安全的网络架构。在这种部署方式下，网络被分为四个区域：内部网络、DMZ1区域、DMZ2区域和外部网络

• 内部网络：这是组织或企业的主要网络，包含敏感数据、内部服务器和终端设备，需要最高级别的安全保护。

• DMZ1区域：这是一个中间区域，位于内部网络和外部网络之间，用于放置公共服务、应用程序和服务器，如WEB服务器、邮件服务器等。DMZ1区域提供对外访问，与内网隔离，以降低外网的威胁。

• DMZ2区域：这是一个更加隔离区域，位于内部网络和DMZ1区域之间。DMZ2区域用于放置更加敏感的服务和服务器，如数据库服务器、应用程序服务器等。DMZ2区域与内部网络相隔离，只允许经过授权的流量进入。

• 外部网络：这是指互联网或其他不受信任网络，包含来自外部的访问和潜在的威胁。

这种双防火墙部署方式的优势包括：

• 提供更高安全性，其中一台防火墙受到攻击或故障，仍有另一台防火墙保护网络

• 内部网络更好地与外部网络和DMZ区域隔离，减少来自外网的直接威胁

• DMZ1区域和DMZ2区域之间流量经过了后端防火墙的检查和过滤，提供更多层次的安全保护

六、防火墙分类

1）、软、硬件形式分类：软件防火墙、硬件防火墙、芯片级防火墙。 2）、防火墙技术分类：包过滤型防火墙、应用代理型防火墙 。 3）、防火墙结构分类：单一主机防火墙、路由器集成式防火墙、分布式防火墙。 4）、防火墙的应用部署位置分类：边界防火墙、个人防火墙、混合防火墙。 5）、防火墙性能分类：百兆级防火墙、千兆级防火墙。 6）、防火墙使用方法分类：网络层防火墙、物理层防火墙、链路层防火墙。

七、总结

防火墙并非万能，它仍然有许多在网上不能防范的攻击。总结如下：

1）、防火墙无法防范通过防火墙以外的其它途径的攻击。例如，在一个被保护的网络上有一个没有限制的拨出存在（如通过MODEM拨号），内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet。这就为从后门攻击创造了极大的可能。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。

2）、防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。

3）、也不能防范这样的攻击：伪装成超级用户或诈称新雇员的攻击。

4）、防火墙不能有效地防范像病毒这类东西的入侵。对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外，而是保证每个脆弱的桌面系统都安装上病毒扫描软件，只要一引导计算机就对病毒进行扫描。

5）、最后一点是，防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上。但一旦执行就开成攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。后面我们将会看到，在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式，并能减少数据驱动型攻击的威胁。

下一代防火墙

NGFW：下一代防火墙—不是简单的升级版的UTM，用途不同，选择也不同

UTM：统一威胁管理—多合一安全网关

工作范围：3、4、7层（具备web应用防护能力）

目的：将多种安全问题通过一台设备解决

优点：功能多合一有效降低了硬件成本、人力成本、时间成本

缺点：模块串联检测效率低，性能消耗大

AV：防病毒功能—基于网络侧识别病毒文件

判断信息：数据包

工作范围：7层

目的：防止病毒文件通过外网进入内网

IPS：入侵防御系统**—抵御3、4、（有限的）7层威胁 **

部署方式：串联部署

工作范围：3、4层

工作特点：根据已知的安全威胁生成对应的过滤器（规则），对于识别为流量的阻断，对于未识别的放通

目的：IDS只能对网络环境进行检测，但却无法进行防御，IPS主要是针对已知威胁进行防御

IDS：入侵检测系统—网络摄像头

部署方式：旁路部署，可多点部署

工作范围：7层

工作特点：根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头

目的：传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。

WAF：Web应用安全网关—专门用来保护web应用

判断信息：http协议数据的request（请求）和response（响应）

工作范围：应用层（7层）

目的：防止基于应用层的攻击影响Web应用系统

主要技术原理：

①代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制

②特征识别：通过正则表达式的特征库进行特征识别

③算法识别：针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

下一代防火墙：

解决多个功能同时运行时性能下降的问题。同时，下一代防火墙还可以基于用户、应用和内容来进行管控。 NGFW是新环境下传统防火墙的替代产品，必须前向兼容传统防火墙的基本功能，包括包过滤、协议状态检测、NAT、VPN等。

IPS 与防火墙的深度集成NGFW要支持IPS功能，且实现与防火墙功能深度融合，实现1+1>2的效果。例如，防火墙应根据IPS检测到恶意流量自动更新下发安全策略，而不需要管理员的介入。集成IPS的防火墙将更加智能。

具备应用感知能力，并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段，是NGFW引进的最重要能力。

特点：

1）、满足国内市场的《网络安全等级保护基本要求》（记忆点：符合等保要求，以安全资质打开市场，以安全能力保护安全）

2）、高效的并行处理能力，提高检测效率。区别于传统的UTM等网关类的防护安全产品的串行检测，NGFW有“一次解包，并行检测”的能力，可以实现协议分析、策略匹配、用户识别、内容识别等多功能的并行处理

3）、多种安全能力的一体化能力，提高检测范围。现有不同的边界防护安全产品存在很多的功能重复，因此如果将一体化的安全防护能力集成到一起，综合IPS、WAF、VPN、UTM等防护功能的众家之长，去除冗余实现一次部署一体防御。

4）、结合人工智能、数据分析等新技术的全新威胁检测技术。检测技术的多样化也是NGFW的一个重要特点，无论是AI和威胁情报的全新检测技术，还是大数据和威胁情报分析相结合的分析技术，都可以提高对APT、恶意软件、0Day等攻击的检测能力。

5）、高速稳定的流量处理速度，包括支持IPv6、多种NAT的多种地址形式和多种地址转换方法。针对IPv4的地址枯竭以及IPv6的逐渐兴起，NGFW要对IPv6以及地址转换等流量场景有高速稳定的处理能力。

下一代防火墙主要防御的是多种类型的网络威胁：包括漏洞、病毒、木马等。传统的防火墙主要关注网络流量的源和目的地，使用五元组进行过滤，而下一代防火墙更加注重对流量内容的深度检查和分析。

下一代防火墙具有以下主要特点和功能，以应对多种网络威胁：

1. 应用识别：下一代防火墙能够对网络流量中的应用程序进行识别，包括常见的Web应用、P2P应用、即时通信应用等。这样可以更精确地控制和管理不同类型的应用流量。

2. 威胁情报和IPS功能：下一代防火墙可以与全球的威胁情报数据库进行集成，及时获取最新的威胁信息，并在实时流量中进行威胁检测和阻断。它还可以提供入侵防御系统（IPS）功能，检测和阻止潜在的网络攻击。

3. 行为分析和高级威胁检测：下一代防火墙能够对网络流量进行深度分析，检测异常行为和高级威胁。它可以使用机器学习、行为分析和流量特征识别等技术来识别潜在的恶意活动和未知威胁。

4. SSL/TLS解密：下一代防火墙可以对经过SSL/TLS加密的流量进行解密和检查，以识别隐藏在加密流量中的威胁。

5. 用户和身份认证控制：下一代防火墙可以与身份管理系统集成，基于用户身份和权限进行流量控制和访问控制。

工作层：

下一代防火墙通常工作在OSI模型的网络层（第三层）和应用层（第七层）。它们可以在这两个层次上进行流量分析和安全策略的控制。

网络层：下一代防火墙可以使用五元组信息进行流量过滤和访问控制。它们可以检查源IP地址、目标IP地址、源端口号、目标端口号和协议类型，以确定是否允许流量通过或需要进一步检查和处理。

应用层：下一代防火墙具备应用识别的功能，可以对流量中的应用程序识别并分析。它们能够检测和控制特定应用的流量，如Web应用、P2P应用、即时通信等，以便更精确地进行安全策略的控制。

下一代防火墙可根据网络需求和安全策略，在不同位置和层次上进行部署：

网络边界部署（边界防火墙）：在网络的边界位置部署防火墙，用于过滤和控制进出网络的流量。这种方式通常工作在OSI模型的网络层（第三层）。

内部网络部署（内部防火墙）：在内网的关键位置部署防火墙，用于检测和阻断内网中的恶意流量和攻击。这种部署方式可工作在OSI模型的网络层（第三层）或应用层（第七层）。

分布式部署：在网络中的多个位置部署多个下一代防火墙，形成一个分布式的防火墙系统。这种方式可在不同层次上进行部署，包括网络层（第三层）和应用层（第七层）。

云部署：将下一代防火墙部署在云平台上，用于保护云环境中的虚拟机、容器和应用程序等。这种部署方式可工作在云平台提供的不同层次，包括网络层（第三层）和应用层（第七层）。

终端部署（终端防火墙）：将下一代防火墙部署在终端设备上，用于检测和阻断终端设备与外网之间的恶意流量和攻击。这种部署方式通常工作在OSI模型的应用层（第七层）。

虚拟化部署：将下一代防火墙部署在虚拟化环境中，用于保护虚拟机和虚拟网络的安全。这种方式可工作在虚拟化平台提供的不同层次，包括网络层（第三层）和应用层（第七层）。

硬件防火墙是一种基于独立硬件设备的防火墙，通常以网络设备的形式存在，例如防火墙路由器、防火墙交换机等。它具备处理器、内存和操作系统，可提供更高性能和可靠性，并且通常具备较强的防护能力。

软件防火墙是一种安装主机上的软件程序，用于监控和控制特定主机的网络流量，以保护该主机免受未经授权的访问、攻击和恶意活动的影响。它通过实施安全策略和规则，过滤进出主机的网络流量，并阻止潜在的威胁进入或离开主机

对比：

产品：

华为：

网络安全产品-防火墙-等保合规-华为企业业务

深信服：

https://www.sangfor.com.cn/zh-CN/product-and-solution/sangfor-security/22

山石网科：

https://www.hillstonenet.com.cn/product-and-service/border-security/ngfw/

绿盟科技：

绿盟NF防火墙系统 NF - 网络安全 - 绿盟科技-巨人背后的专家

 区别

路由器与交换机的本质是转发，防火墙的本质是控制和防护。 防火墙的工作原理是通过设置安全策略，来进行安全防护。

定义—防火墙是部署在网络出口处/服务器区(数据中心）/广域网接入，用于防止黑客攻击/保护内部网络安全的安全硬件。

一、传统防火墙：------工作于应用层以下

1.包过滤（包过滤防火墙）

工作层次——3/4层（七层模型） 工作原理——手工，类似ACL控制数据包，五元组，实现单向访问 优点——仅处理3/4层，简单快捷。 缺点——ACL多且复杂，手工配置，不能随需求自动修改； ②不能识别通信状态进行控制； ③不能防范应用层攻击； ④是默认策略，没有明显允许就是禁止。

五元组：

1. 源IP地址（Source IP Address）：源IP地址是指发送网络流量的设备的IP地址，用于标识流量的来源。

2. 目标IP地址（Destination IP Address）：目标IP地址是指接收网络流量的设备的IP地址，用于标识流量的目的地。

3. 源端口号（Source Port）：源端口号是指发送网络流量的应用程序所使用的端口号，用于标识应用程序的发送方。

4. 目标端口号（Destination Port）：目标端口号是指接收网络流量的应用程序所使用的端口号，用于标识应用程序的接收方。

5. 协议（Protocol）：协议是指在网络通信中使用的协议类型，例如TCP、UDP、ICMP等。

2.状态检测技术（状态防火墙）

工作层次——3/4/5层 工作原理——维持会话表通信状态。会话表包括五个元素（源目的IP，源目的端口，协议号） 优点——①可以识别会话状态控制通信； ②能动态生成放通回程报文的策略。 缺点——不能防范应用层攻击、不能检测应用data（数据）、对FTP等多连接应用兼容性差。

3.应用代理技术ALG（应用代理防火墙）

工作层次——3/4/5/7层 工作原理——应用数据data检查:动态协商的端口、URL、 ftp操作指令、http请求方法,允许动态通道(端口都是随机动态协商的,如FTP )的数据进入防火墙。 优点——可以检测应用层数据,防范简单的应用层攻击； 缺点——软件处理,消耗资源。

传统防火墙的工作模式：

透明/网桥模式——防火墙相当于二层交换机，无需配置IP地址；

路由模式——防火墙具有三层功能，需要配置IP地址，可以做NAT；

混合模式——根据需求，可以同时以透明模式和路由模式工作。

二、下一代防火墙

功能：

包括传统防火墙的基本防护功能（包过滤、状态检测、应用代理） 增强应用识别与控制（深度包检测（深度内容检测），即DPI技术）：将数据中的应用层特征与本地的应用特征库进行匹配（应用特征库会定期更新） web攻击防护：将数据中的URL地址与本地的URL库进行匹配（URL库会定期更新） 信息泄露防护 恶意代码防护：将数据的特征与本地的病毒库进行匹配（病毒库会定期更新） 入侵防御：将数据流的特征与本地的IPS入侵检测库进行匹配（IPS入侵检测库会定期更新）

工作模式：

透明/网桥模式—防火墙相当于二层交换机，无需配置IP地址；

路由模式—防火墙具有三层功能，需要配置IP地址，可以做NAT

混合模式—根据需求，可以同时以透明模式和路由模式工作。

旁路模式——通过数据镜像*，仅对流量进行统计、扫描或者记录，不对流量进行转发*。

两者的区别：

传统防火墙和下一代防火墙是两种不同的防护技术，它们在功能、特性和部署方式上存在一些区别。

1. 功能和过滤方式：传统防火墙主要通过基于规则的访问控制列表（ACL）进行网络流量的过滤和阻断，只检查网络连接的源地址、目的地址、端口和协议等基本信息。下一代防火墙在此基础上增加了深度包检测（DPI）和应用层检测，能够对网络流量进行更细粒度的分析和控制，包括检测恶意代码、应用层攻击、漏洞利用等。

2. 安全智能和威胁情报：下一代防火墙具备更强大的安全智能和威胁情报功能。它们能够实时更新和应用最新的威胁情报，对网络流量进行实时分析和检测，以识别新型和未知的威胁，提供更高效的安全防护。

3. 应用可见性和控制：下一代防火墙能够对网络中的各种应用程序进行深度识别和分类，包括加密流量中的应用程序。它们可以根据应用程序的特征和行为特性，进行更细粒度的访问控制和策略管理，实现对应用程序的精确控制。

4. 用户可见性和身份管理：下一代防火墙可以与身份验证和访问控制系统集成，实现对用户身份识别和管理。它们能够基于用户身份、角色和权限等信息，进行用户级别的访问控制和策略管理。

5. 高级威胁防护：下一代防火墙提供了更多的高级威胁防护功能，包括入侵检测和防御系统（IDS/IPS）、恶意软件防护、行为分析、安全漏洞管理等。它们能够主动检测和阻断高级威胁，提供更全面的安全保护。

6. 部署灵活性：下一代防火墙具备更灵活的部署方式，可以在网络边界、内部网络、云环境和终端设备等不同位置进行部署，以满足不同场景和需求的安全防护。