防火墙一些有关知识

防火墙概述

防火墙核心任务

控制和防护

如何发挥功能

防火墙通过安全策略识别列两并做出相应动作。和ACL一样，所以防火墙本质就是ACL

防火墙分类

按物理特性划分

软件防火墙：电脑带的防火墙

硬件防火墙：设备，这个设备做的就是软件防火墙干的一个事情，使用硬件防火墙，大多数场景可能就在于比如企业的一些边界去组建企业网络，硬件性能比软件好点

按性能划分

百兆、千兆防火墙

按照吞吐量（单位时间内防火墙处理的数据量）划分，且接口的这个传输速率也应该达到一个对应的要求

按防火墙结构划分

单一主机防火墙：只干防火墙的工作

路由集成防火墙：它在转发能力上，它就相当于是一个三层交换机，承担一部分路由器功能

分布式防火墙：分布在各地的防火墙，实现防火墙的高可用

按照防火墙技术来分

包过滤

五元组用来标识数据流，同一个五元组就是同一个数据流

防火墙的这个安全策略在进行匹配的时候自上向下逐一匹配结尾隐含一条拒绝所有的规则

缺点

只关注三四层数据，很难防护应用层的东西，测无法充分识别安全风险

每个包都要检测，效率太低。要是防火墙处理效率太慢，可能会成为网络瓶颈

（路由器为了提高转发效率，基于流的包交换，使用了首包转发的一种方式，一股数据流多个数据包拆分成多个，在检测的时候只检测第一个，将第一个信息记录下来。然后后面的数据包过来的时候就不用对比路由表，对比五元组就可以了。这个信息我可以用哈希算法运算，将其转换一个定长的值，后面就可以比对定长的值。定长的值在后面可以使用硬件处理。）

应用代理防火墙

让防火墙充当代理，数据先发到防火墙，让防火墙审核

优点

可以检测应用测数据

缺点

检测效率低（每个数据都得过防火墙），

延展性变差，要想实现代理功能，每种应用都需要开发对应的功能。

状态检测防火墙

 就是首包检测

使用的是’会话表技术‘

入侵检测系统

只能发现安全风险、可以记录，分析以及反馈，但是没有办法处理风险。存在一定的滞后性 ，这个对原先网络不会产生影响

侧重风险管理

IPS入侵防御系统

可以直接处理安全风险

侧重风险控制

防御的行为比如说sql注入等一些

AV设备

病毒查杀

 WAF

 多合一安全网关

这东西串联部署，效率也没有提高，但是成本降低、维护成本低、集成度变高

下一代防火墙NGFW

一次检测多次识别、效率提高

缺陷

把一个NGFW放到这，让他既起入侵检测，又让他进行病毒查他啥都让他干。但是可能性不是很大，因为他的性能支撑不了，至少目前还不行。

 

防火墙功能

访问控制：控制传入传出的流量

地址转换：边界承担一部分路由器功能

网络环境支持：

带宽管理：对带宽进行智能调控或管理

入侵检测入侵防御

用户认证：上网行为管理很重要的一部分

高可用：对防火墙做冗余，分担负载高可用

防火墙组网

控制一台防火墙，如何做分两类带内管理、带外管理

带内管理：带可以理解为网络，通过网络进行管理配置telnet ssh wen界面 snmp协议

带外管理：不通过网络进行管理，插console线配置，通过mini usb配置

防火墙例子

或为usg6000v

 mgmt web界面接口编号g0/0/0，默认开启两个功能一个DHCP功能，web页面功能。且这个皆苦有IP地址192.168.0.1/24，然后你的电脑连接这个口，配置同一网段进行管理。

注：不同设备的默认IP地址可能不同，可以去产品文档去查询以下。

console 编号接口 g1/0/0

初始用户名

admin

初始密码

Admin@123

模拟器上开启管理服务

int g0/01

serveice-mange all permit