深信服day10：AF(1)

一、防火墙的定义

1、防火墙定义

防火墙是一种网络安全设备或软件应用，它位于内部网络和外部网络（如互联网）之间，用于监控和控制进出网络的数据流。其主要目的是防止未经授权的访问和潜在的网络攻击，同时允许合法的数据传输。

2、防火墙分类

1）物理特性：软件防火墙、硬件防火墙

2）性能：百兆级防火墙、千兆级防火墙

3）防火墙结构：单一主机防火墙、路由集成防火墙、分布式防火墙

4）防火墙技术：包过滤防火墙、应用代理防火墙、状态检测防火墙

3、防火墙功能

1）访问控制：依据预先设定的规则，决定哪些网络流量可以通过，哪些被阻止。例如，可以限制特定 IP 地址或 IP 地址段的访问，或者禁止某些端口的通信。

2）网络隔离：将内部网络与外部网络隔离开来，减少外部网络对内部网络的直接访问，降低安全风险。

3）数据包过滤：检查进出网络的数据包，基于源地址、目的地址、端口号、协议类型等信息进行筛选和过滤。

4）防止入侵：能够检测和阻止常见的网络攻击，如端口扫描、DoS 攻击等。

5）网络地址转换（NAT）：隐藏内部网络的真实 IP 地址，对外呈现经过转换的 IP 地址，增强内部网络的安全性。

6）日志记录与监控：记录网络活动的相关信息，包括访问的源和目标、时间、流量等，以便进行安全审计和故障排查。

7）VPN 支持：为远程办公或分支机构提供安全的虚拟专用网络连接，保证数据传输的保密性和完整性。

8）应用层控制：对特定的应用程序和服务进行更精细的访问控制，例如限制某些应用的网络访问权限。

4、防火墙安全策略

1）定义：安全策略是按一定规则，控制设备对流量转发以及对流量进行内容一体化检测的策略；规则的本质是包过滤。

2）主要应用：对跨防火墙的网络互相访问进行控制；对设备本身的访问进行控制。

3）分类：域间安全策略、域内安全策略、接口包过滤

二、防火墙发展历程

1、传统防火墙（包过滤防火墙）—一个严格的规则表

1）判断信息： 数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口（五元组）

2）工作范围：网络层、传输层（3-4层）

3）和路由器的区别：

      普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。

      防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。

4）技术应用：包过滤技术

5）优势：对于小型站点容易实现，处理速度快，价格便宜

6）劣势：规则表很快会变得庞大复杂难运维，只能基于五元组

2、传统防火墙（应用代理防火墙）—每个应用添加代理

1）判断信息：所有应用层的信息包

2）工作范围：应用层（7层）

3）和包过滤防火墙的区别：

      包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。

      应用代理防火墙工作7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务。

4）技术应用：应用代理技术

5）优势：检查了应用层的数据

6）劣势：检测效率低，配置运维难度极高，可伸缩性差

3、传统防火墙（状态检测防火墙）—首次检查建立会话表

1）判断信息：IP地址、端口号、TCP标记

2）工作范围：数据链路层、网络层、传输层（2-4层）

3）和包过滤防火墙的区别：

      包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。

      是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行。

4）技术应用：状态检测技术

5）优势：主要检查3-4层能够保证效率，对TCP防御较好

6）劣势：应用层控制较弱，不检查数据区

4、入侵检测系统（IDS）—网络摄像头

1）部署方式：旁路部署，可多点部署

2）工作范围：2-7层

3）工作特点：根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头

4）目的：传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。

5、入侵防御系统（IPS）—抵御2-7层已知威胁

1）部署方式：串联部署

2）工作范围：2-7层

3）工作特点：根据已知的安全威胁生成对应的过滤器（规则），对于识别为流量的阻断，对于未识别的放通

4）目的：IDS只能对网络环境进行检测，但却无法进行防御，IPS主要是针对已知威胁进行防御

6、放病毒网关（AV）—基于网络侧识别病毒文件

1）判断信息：数据包工作范围：2-7层

2）目的：防止病毒文件通过外网络进入到内网环境

3）和防火墙的区别：

      反病毒网关专注于检测和阻止病毒、恶意软件等恶意代码进入网络，主要通过实时扫描文件和流量来实现。

      防火墙则侧重于控制网络访问，通过设置规则来允许或拒绝数据包的传输，保护网络免受未授权访问和攻击。

7、Web应用防火墙（WAF）—专门用来保护web应用

1）判断信息： http协议数据的request和response

2）工作范围：应用层（7层）

3）目的：防止基于应用层的攻击影响Web应用系统

4）主要技术原理：

①代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制

②特征识别：通过正则表达式的特征库进行特征识别

③算法识别：针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

8、统一威胁管理（UTM）—多合一安全网关

1）包含功能：FW、IDS、IPS、AV

2）工作范围：2-7层（但是不具备web应用防护能力）

3）目的：将多种安全问题通过一台设备解决

4）优点：功能多合一有效降低了硬件成本、人力成本、时间成本

5）缺点：模块串联检测效率低，性能消耗大

9、下一代防火墙（NGFW）—升级版的UTM

1）包含功能：FW、IDS、IPS、AV、WAF

2）工作范围：2-7层

3）和UTM的区别：

      与UTM相比增加的web应用防护功能;

      UTM是串行处理机制，NGFW是并行处理机制;

      NGFW的性能更强，管理更高效

三、防火墙的性能指标

1、吞吐量

1）吞吐量：防火墙能同时处理的最大数据量

2）有效吞吐量：除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率

3）衡量标准：吞吐量越大，性能越高

2、时延

1）定义：数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标

2）用于测量防火墙处理数据的速度理想的情况，测试的是其存储转发(Store and Forward) 的性能。

3）衡量标准：延时越小，性能越高

3、丢包率

1）定义：在连续负载的情况下，防火墙由于资源不足，应转发但是未转发的百分比。

2）衡量标准：丢包率越小，防火墙的性能越高

4、背靠背

1）衡量标准：背靠背主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量(例如：NFS，备份，路由更新等)，而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。

5、并发连接数

1）定义：由于防火墙是针对连接进行处理的，并发连接数目是指防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。

2）衡量指标：并发连接数指标越大，抗攻击能力也越强。

四、下一代防火墙解决方案

深信服人工智能杀毒引擎SAVE，有自己的一整个体系。