1.概述
1.基本概念
基于三层和四层上隔离网络,将需要保护的网络与不可信任的网络进行隔离,隐藏信息并进行安全防护
2.基本功能
- 访问控制 ACL策略
- 攻击防护
- 冗余设计
- 路由、交换
- 日志记录
- 虚拟专网VPN
- NAT
3.与路由器区别
路由器不写NAT策略全可以通过
防火墙不写NAT策略全不可以通过
2.防火墙区域隔离
- 内部网络
- 外部网络
- “DMZ”区域,隔离区域、非军事化区域
防火墙写ACL的时候一般允许策略由内网向外网访问,反过来不配置,这样外网就无法主动访问访问内网
ps:
WAF防火墙,web application firewall,当外网想访问DMZ区域的服务器的80端口号服务的时候,可以在该服务器前再加一个防火墙,也就是WAF防火墙
3.防火墙分类
- 按防火墙形态
a.软件防火墙
b.硬件防火墙 - 按技术实现
a.包过滤防火墙
b.状态检测防火墙(主流)
一般数据包通过防火墙从内网访问外网的时候,会产生会话状态,记录源IP,目标IP,端口号,源MAC,目标MAC等等。
当数据包从外网回包的时候,防火墙会先进行状态检测,查看回包的信息是否和会话状态中的信息是否一致,如果一致,就默认为是刚才内网访问外网的回包,就允许外网的回包,如果与会话状态不一致,就检查防火墙中是否有ACL策略,允许外网的包进入,如果没有策略就不允许进入内网
c.应用(代理)防火墙----内网pc发起请求访问外网,先通过防火墙,防火墙一边和内网进行通信,一边请求访问外网服务器
优点:安全性能高,检测内容
缺点:连接性能差,可伸缩性差
d.WAF防火墙 —— 一般设置在网页外围
e.应用层防火墙(主流)
4.衡量防火墙性能的5大指标
1)吞吐量:在不丢包的情况下单位时间内通过的数据包数量
2)时延:数据包第一个比特进入防火墙到最后一个比特从防火墙输出的时间间隔、
3)丢包率:通过防火墙传送时所丢失数据包数量占所发送数据包的比率
4)并发连接数:防火墙能够同时处理的点对点连接的最大数目
5)新建连接数:在不丢包的情况下每秒可以建立的最大连接数
5.防火墙的典型应用
- 标准应用
1)透明模式 ——不影响网络拓扑结构,一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下
- 路由模式
3)混杂模式