定义:
防火墙是一种隔离非授权用户并且过滤对网络有害的流量或者流量包的设备。防御对象主要有两种,授权用户和非授权用户。我们想要的是让授权用户自由进出,并且阻拦非授权用户。但是如果授权用户携带有害的流量或者数据包,也会将其阻拦。防火墙其本身具有路由功能。防火墙既可以做路由器,也可以做交换机,也就是说,防火墙也具有路由交换功能。防火墙必须挂在边界上,可以对外来数据进行过滤。
防火墙的区域:
我们之前也用过acl来控制流量,acl和防火墙控制流量最大的区别就是acl是基于五元组(报文的源地址、目的地址、源端口、目的端口、端口号)来进行,简单来讲就是acl是基于接口,而防火墙是基于区域来进行。
dmz区域:
dmz区域要对外提供服务,外部用户需要进入dmz区域。外部的用户可以通过dmz区域跳到内部,所以我们在dmz区域也要加上防火墙,目的是让外部的用户只能到dmz区域,进不去内部。每个区域的功能不同,所以,防火墙的作用就是在不同的安全区域之间做隔离,保证我们的流量不能乱跑。就算是黑客把DMZ服务器拿下,也不能使用服务器来控制内网的网络。dmz区域的安全等级一般在50左右。
trust区域:
可信任的接口,是局域网的接口,此接口外网和DMZ无法访问。外部不能访问trust口。
DMZ不能访问trust口。trust区的安全等级一般是100(满分)。
untrust区域:
不信任的接口,是用来连接internet的,这个接口的流量内网不接收。可以通过untrust口访问DMZ区域,但不能访问trust区域。untrust区域的安全等级一般是0。
防火墙演变过程:
包过滤防火墙--访问控制列表技术 - -三层技术:
简单但是速度慢,效果不好,检查的颗粒度粗,也就是检查五元组(报文的源地址、目的地址、源端口、目的端口、端口号),不能检测状态。
代理防火墙--中间人技术-- 应用层:
检查的颗粒度更细,是 降低包过滤颗粒度的一种做法,代理技术只能针对特定的应用来实现,应用间不能通用,但是技术复杂,速度慢,可以防御应用层威胁和内容威胁。
状态防火墙--会话追踪技术--三四层技术:
在ACL表的基础上增加一个会话表,数据包需要查看绘画表来实现匹配。会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
防火墙的工作原理:
防火墙默认设置为deny any操作,如果不做任何放行策略操作,则默认拒绝所有。
防火墙策略:先定义区域到区域,源区域到目标区域,其次源地址到目标地址.
![](https://i-blog.csdnimg.cn/blog_migrate/9d28472bdcfdc444b6c87c2c4de1ced5.png)
![](https://i-blog.csdnimg.cn/blog_migrate/177d6318ccc17f182ce6954562fde59d.png)