思科、华为防火墙，快进去看看还能记得多少？

在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。
技术意义的防火墙，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外。
所以，防火墙是可信和不可信网络之间的一道屏障，通常用在LAN和WAN之间。
它通常放置在转发路径中，目的是让所有数据包都必须由防火墙检查，然后根据策略来决定是丢弃或允许这些数据包通过。

如上图，LAN有一台主机和一台交换机SW1。在右侧，有一台路由器R1连接到运营商的路由器ISP1。防火墙位于两者之间，这样就可以保证LAN的安全。
今天，就想简单和你说说防火墙的基础技术点。

防火墙的类型 你知道多少？

防火墙从诞生开始，已经历了四个发展阶段：
基于路由器的防火墙 → 用户化的防火墙工具套 → 建立在通用操作系统上的防火墙 → 具有安全操作系统的防火墙
现阶段常见的防火墙属于具有安全操作系统的防火墙，例如NETEYE、NETSCREEN、TALENTIT等。
而一般来说，防火墙一般分为四类：
01 网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。可以以枚举的方式只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。
02 应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，你使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。
应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。
理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
03 数据库防火墙
数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。
基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。

数据库防火墙面对来自于外部的入侵行为，提供SQL注入禁止和数据库虚拟补丁包功能。
04 Linux 防火墙
Linux 防火墙在企业应用中非常有用，举例如下：
中小企业与网吧里有iptables 作为企业的NAT路由器，可以用来代替传统路由器，而节约成本。
IDC机房一般没有硬件防火墙，IDC机房的服务器可以用Linux 防火墙代替硬件防火墙。
将iptables 作为企业NAT 路由器时，可以使用iptables 的扩展模块屏蔽P2P 流量，还可以禁止非法网页。
iptables 可以用于外网IP 向内网IP 映射。
iptables 可以轻松防止轻量级DOS 攻击，比如ping 攻击及SYN 洪水攻击。
综述，Iptables 有两种应用模式：主机防火墙，NAT路由器。
图片

关于防火墙 这3个技术点得抓住

要知道，在这一过程中，路由器是可选的，主要是取决于所连的WAN。
例如，如果你的 ISP 提供电缆，那么你可能有一个带有以太网连接的电缆调制解调器，也可以直接连接到你的防火墙。
当它是无线连接时，你可能需要那里的路由器进行连接。
如果你需要配置（高级）路由，如 BGP，你就需要路由器。
大多数防火墙支持一些基本路由选项：静态路由、默认路由，有时还支持 RIP、OSPF 或 EIGRP 等路由协议。
01 状态过滤
防火墙，如路由器，可以使用访问控制列表来检查源、目地址/端口号。
然而，大多数路由器不会在过滤上花太多时间……当它们收到数据包时，就检查数据包的源目信息是否与访问控制列表中的条目匹配，如果匹配，它们会允许或丢弃该数据包。
无论他们收到一个数据包还是数千个数据包，每个数据包都会单独处理，不进行跟踪之前是否检查过的数据包，这称为无状态过滤。
与之相反的就是，有状态过滤。防火墙会跟踪所有入向和出向的连接。
例如：
局域网里有台电脑，作为邮箱客户端，通过互联网去访问邮箱服务器，邮箱客户端起初会进行TCP三次握手，经过防火墙，就知道它们的源目信息，防火墙会跟踪这些信息，当邮箱服务器要进行响应客户端的请求时，防火墙就会自动允许这部分的流量通过防火墙，最终到达客户端。
又比如，一个 Web 服务器位于防火墙后面，它是一个繁忙的服务器，平均每秒从不同的 IP 地址接受 20 个新的 TCP 连接。
防火墙会跟踪所有连接，一旦发现每秒请求超过 10 个新 TCP 连接的源 IP 地址，它将丢弃来自该源 IP 地址的所有流量，防止 DoS（拒绝服务）。
02 数据包检测
大多数防火墙支持进行数据包（深度）检查。简单的访问控制列表仅能检查源、目标地址/端口，即 OSI 模型的第 3 层和第 4 层。
数据包深度检查意味着防火墙可以检查 OSI 模型的第 7 层。这就意味着防火墙查看应用程序数据甚至负载：

上面你看到网络（IP）和传输层（TCP）被标记为红色，应用层被标记为绿色。这个示例是来自捕获web浏览器请求页面的数据包。
03 安全区
默认情况下，路由器将允许并转发它们收到的所有数据包，前提是需要匹配它们的路由表中的路由。
如果你想进行限制，你必须配置一些ACL。如果设备有很多接口或很多条ACL需要配置，这会成为网工的噩梦。这是一个例子：

上面的路由器有两个入站方向ACL来阻止来自主机的一些流量。
此外，还有两个ACL，来防止来自 Internet 的流量进入我们的网络。
我们还可以复用一些ACL，但记得将ACL应用到四个接口。
接下来有个更好的解决方案，防火墙可以结合安全区域来工作。
这是一个例子：

上面我们有两个安全区域：
inside：LAN区域
outside：WAN区域
接口已分配到正确的安全区域，这些区域有两个简单的规则：允许从“高”安全级域到“低”安全级别的流量。
拒绝从“低”安全级别到“高”安全级别的流量。
LAN是我们信任的网络，所以具有很高的安全级别。WAN 不受信任，因此它的安全级别较低。
这意味着来自从LAN去往WAN的流量将被允许。从 WAN 到 LAN 的流量将被拒绝。由于防火墙是有状态的，它会跟踪传出连接并允许其返回的流量。
如果想例外，你也可以允许从 WAN 到 LAN 的流量，这就需要通过访问控制列表来完成了。
大多数公司将拥有一台或多台服务器，这些服务器大部分是需要从 Internet来访问。
如邮件服务器。为了安全，我们没有将它们放在内部（LAN），而是放在称为DMZ（非军事区）的第三个区域。
看看下面的图片：

DMZ 安全区域的安全级别介于 INSIDE 和 OUTSIDE 之间。这意味着：
允许从 INSIDE 到 OUTSIDE 的流量。
允许从 INSIDE 到 DMZ 的流量。
允许从 DMZ 到 OUTSIDE 的流量。
从 DMZ 到 INSIDE 的流量被拒绝。
从外部到 DMZ 的流量被拒绝。
从外部到内部的流量被拒绝。
为确保来自 OUTSIDE 的流量能够到达 DMZ 中的服务器，我们将使用一个访问列表，该列表只允许流量流向 DMZ 中服务器使用的 IP 地址（和端口号）。
此设置非常安全，如果你在 DMZ 中的其中一台服务器遭到黑客攻击，你的 INSIDE 网络仍然是安全的。

最后，总结一下：
防火墙使用状态过滤来跟踪所有入站和出站连接，他们还能够（主要看防火墙型号）检查 OSI 模型的第 7 层、应用程序的有效负载。
防火墙还使用安全区域，允许来自高安全级别的流量进入较低安全级别。
从低安全级别到高安全级别的流量将被拒绝，可以使用访问控制列表进行特例处理。

文章转载 公众号：网络工程师俱乐部，侵删。