防火墙
防火墙的功能
防火墙有很多功能,这里主要列举出四个。
用于隔离LAN与WAN
即所有荆楚内网的流量都要经过防火墙进行过滤。
软件防火墙与硬件专业防火墙的区别:
-
在操作系统内部的软件防火墙,一般只能过滤OSI参考模型二、三、四层的数据内容。
-
而物理防火墙,可以过滤全部七层的数据。
强化安全策略
防火墙使用策略(Policy)限制内网和外网的互相访问。
有效防止来自外部的威胁。
(防火墙通过配置安全策略可以实现内外网流量的筛选,基于OSI三、四、七层的标识来决定流量是否要被放行。)
记录用户的上网行为
方便管理员监视局域网用户的上网行为。
例如,内网用户访问外网网站等。
隐藏内部站点或拓扑
防火墙支持NAT功能
还能缓解公网IP地址不足的问题
因防火墙是局域网内部访问外网的最外层设备,所以它具备NAT功能。
防火墙的其他功能
基于以下条件进行流量筛选:
-
VLAN ID
-
源/目的安全区域
-
源/目的 的 地址/地区
-
用户(例如学校上网时,需要学号登录)
-
服务(例如限制ftp服务)
-
应用(例如限制QQ程序对外网的访问)
-
URL分类
-
时间段
还可以通过配置文件实现以下功能:
-
反病毒
-
入侵防御
-
URL过滤
-
文件过滤
-
内容过滤
-
应用行为控制
-
邮件过滤
-
APT防御
-
DNS过滤
-
云接入安全感知
交换机、路由器与防火墙的对比
防火墙:网络安全管理,流量过滤、流量筛选。
路由器、交换机的本质是转发,防火墙的本质是控制。
路由器、交换机最多可以实现二、三、四层的包过滤,而防火墙可以实现七层的包过滤,并且可以基于报文的内容是否存在异常信息进行包过滤。
防火墙和路由器实现安全控制的区别
过滤数据包:
-
防火墙:基于状态包过滤的应用级信息流过滤。
-
路由器:核心的ACL列表是基于简单的包过滤。
对性能的影响:
-
防火墙:采用的是状态包过滤,规则条数,NAT的规则数对性能的影响较小。
-
路由器:进行包过滤会对路由器的CPU和内存产生很大的影响。
防攻击能力:
-
防火墙:具有应用层的防范能力
-
普通路由器:不具备应用层的防范能力。
注意,路由器理论上并不能够识别异常信息,路由器只能按照配置的规则进行转发数据。
防火墙分类
传统防火墙
具有数据包过滤、网络地址转换(NAT)、协议状态检查以及VPN等功能。
这一类型的防火墙是最初的防火墙,传统防火墙大多以软件的方式“寄居”在其他硬件设备上。
UTM防火墙
(United Threat Management,统