防火墙概述

防火墙的核心任务:控制和防护

防火墙的原理:通过安全策略来对流量进行控制和防护

防火墙的性能评判标准:吞吐量:单位时间内防护墙处理的数据量

防火墙一定程度上就是二层交换机和三层路由器的集合

一、防火墙发展历程

1、包过滤防火墙---一个严格的规则表(ACL相当于)

防火墙的安全策略在进行匹配时,自上向下逐一匹配,匹配上则不再向下匹配,结尾隐含一条 拒绝所有的规则。

判断信息:源IP、源端口、目标IP、目标端口、协议(五元组)

工作范围:网络层、传输层

缺点:

        1,因为只关注三四层数据,无法检测应用层,则无法充分的识别安全风险

        2,需要逐包匹配检测,则效率较低。可能会成为网络的瓶颈。

        路由器解决转发效率低是这样:路由器解决包转发太慢的办法是:首包检测,只有第一个包进行查询路由表,后面的包都不需要;其他路由器也是一样,只有首包需要进行查询路由表,后面的按着转发就行;

2、应用代理防火墙---(每个应用都要添加代理)

缺点:

        1,效率变低  

        2,可伸缩性变差:每一种应用都需要开发对应的代理功能,否则无法代理

3、状态检测防火墙---首次检查建立会话表

优点:有会话表技术

        会话表技术:说白了就是首包检测,后面的包就不必须要检测了,直接对着会话表看就行,表上是允许就允许;通过5元组进行一个数据流的识别(五元组相同就是同一个数据流)

4、入侵检测系统IDS    ---网络摄像头,检测已知威胁

IDS可以发现安全风险,可以记录,分析以及反馈,但是,并不会直接处理或者消除风险 --- 一种侧重于风险管理的安全设备 --- 存在一定的滞后性

5、入侵防御系统IPS   ---抵御已知威胁,侧重于风险控制的安全设备

IPS和IDS是针对具有威胁的许多行为,如暴力破解,而不是针对含有木马的文件,它是一种控制的病毒

6、防病毒网关  --AV  ---针对的是病毒的文件

        IPS和IDS是针对行为方面的;AV是针对含有病毒的文件,威胁的文件

7、Web应用防火墙(WAF)---专门用于保护Web应用

8、统一威胁管理(UTM)---多合一安全网关:串联部署

每个安全设备都有一个安全侧重点,如IDS是对内网里面的数据进行一个监控,而IPS主要是对检查出来的威胁进行一个处理,所以每个安全系统的侧重点都不相同;

UTM就是对FW,IDS,IPS,AV,WAF 这些安全系统进行了一个单纯简单的总和;(但是不具有web应用的防护功能)

UTM:把多个功能进行集中串联,所以他是具备着大多数的防御设备的功能,但是因为是串联的,所以还是需要层层筛选;

9、下一代防火墙(NGFW) ---升级版的UTM

功能基本都同 UTM统一威胁管理一样,最重要的是UTM是串行连接,NGFW是并行连接

升级点:并行连接,只检测一次,将检测出来的值供给所有功能用;

二、防火墙其他功能

1、访问控制,对进来或出去的数据流量进行一个目标访问控制,当目标网站是爱奇艺时直接禁止掉;

2、地址转换:通常都是在防火墙上面进行NAT地址转换

3、网络环境支持:支持多种网络环境,适应多种网络环境

4、带宽管理:内外网的数据交换都是要通过防火墙的,所以可以对内网与外网的胡数据交换量进行控制,俗称带块管理

5、入侵检测和攻击防御:对进来的数据流量进行一个威胁检测和防御

6、用户认证:防火墙服务器可被用户登录认证

7、高可用性:NGFW防护墙是集合多个功能为一身的,且适用场合很多;几乎所有要访问公网的设备都需要NGFW防火墙

三、防火墙的组网

1、防火墙的管理方式

        带内管理:通过网络对设备进行远程管理  如:telnet,SSH,web,SNMP(这个是一次连接多个设备进行同时操作多个设备)

        带外管理:console,MINI USB;不是通过远程连接,而是通过物理线连接进行管理

2、防火墙等级

3、防火墙管理员

本地认证 --- 用户密码信息存储在防火墙本地,有防火墙判断是否通过认证

服务器认证 --- 对接第三方服务器,用户信息存储在第三方服务器上,由防火墙将用户信息推 送给服务器,由服务器进行判断,并返回结果,防火墙做出登录与否的操作。

服务器/本地认证 --- 正常情况使用服务器认证,如果服务器认证失败,则直接认证失败,不 进行本地认证,只有在服务器对接失败的时候,才采取本地认证。

4、防火墙接口

三层接口:可以配置IP地址的接口

二层接口:

        普通二层接口

        接口对---“透明网线”:可以讲一个或两个接口配置成一个接口进,将不需要查看MAC地址表,直接从另一个接口处;可以进行拦截流量

        旁路检测接口:知识检查流量,但是不能拦截

        虚拟接口:环回接口、子接口、Vlanif、Tunnel、链路聚合

        虚拟系统--VRF:互通使用的接口,每创建一个虚拟系统,将自动生成一个虚拟接口,仅需要配置IP地址即可 

5、防火墙安全区域

Trust---信任区域

Untrust--非信任区域

Local--防火墙上所有的接口都属于这个区域

将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本身,永远属于local区域

Dmz:非军事化管理区域:放置一些对外开放的服务器

优先级:

1---100:从优先级高的区域到优先级低的区域是出方向(outbound)

                从优先级低的区域到优先级高的区域是入方向(inbound)

6、防火墙模式

        1、路由模式:

                1,接口IP地址,区域划分

                2,写内网的回报路由

                3,安全策略

                4,内到外的NAT

                5,服务器映射

        2、透明模式

                1,接口配置VLAN,以及划分区域

                2,安全策略                 

                3,增加设备的管理接口,用于控制管理设备以及设备的自我升级

        3、旁路检测模式

        4、混合模式

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值