1. 什么是防火墙?
防火墙是是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备。
在早期,互联网的范围很小,用户的目的很单纯,并不需要防火墙这样的设备。随着发展,用户越来越多,就出现了一些不怀好意的破坏者,防火墙的雏形——包过滤防火墙就产生了。
包过滤防火墙是通过路由器的访问控制列表实现的,但也有很大的缺点,过滤颗粒度太大,而且需要写大量acl,效果也不尽人意。于是催生了代理防火墙。
代理防火墙故名思意就是走代理,只有通过代理服务器才能访问目标服务器,由于流量集中,更加便于过滤流量,且能防御应用层和内容威胁。同样由于流量集中,也使得代理服务器很容易过载,还有就是代理技术只能通过特定应用实现,速度慢且复杂。
后来出现了状态防火墙,在包过滤防火墙的acl的基础上增加了会话追踪,在防火墙上建立会话表,记录会话的状态,根据包的状态参数过滤流量。这一代防火墙,在过滤效果和速度上都做得很好。
这时候,市面上各种不同功能的安全设备层出不穷,如IPS(入侵防御系统)、WAF(web应用程序防火墙)、AV(防毒墙)、AC(上网行为管理)……企业往往需要购买大量设备,一个接一个,像糖葫芦一样穿起来,成本很高,且增大链路故障的风险。有一个公司就将所有安全设备整合成了一个设备,叫UTM防火墙。
UTM防火墙把应用网关和IPS等设备在状态防火墙的基础上进行整合和统一。但也仅仅是吧设备变成了一个,内部模块的逻辑还是糖葫芦串,每个模块依次拆包检查,太慢了。而且当时的物理硬件支持不了那么多模块同时工作。为了解决这个问题,下一代防火墙应运而生。
没错,它的名字就叫“下一代防火墙(NGFW)”它将原本串行进行的任务改为部分并行,提高了性能。这也是现在正在使用的防火墙。
2. 状态防火墙工作原理?
状态防火墙的出现可以说是防火墙发展的里程碑,它的工作方式看似复杂,其实很简单,也很有效,且现在仍在使用。
大家在上网的过程中是会建立会话的,比如访问某个网页,需要先通过tcp与服务端握手建立连接,这个过程中就有状态,状态防火墙就是通过记录这些状态来工作的,当用户发送SYN后,这就会被记录到会话表中,预期收到的回复是目标服务器法案送的SYN+ACK,如果收到不是这个,防火墙就会拒绝流量。
3. 防火墙如何处理双通道协议?
双通道协议指控制层流量和数据层流量不在同一个端口,比如FTP的主动模式,登录使用21端口,然后沟通一个随机端口进行数据传输,在状态防火墙中,无法得知协议沟通得到的端口,所以无法放行数据层的流量。这就需要另一个协议ASPF(应用层报文过滤)登场,该协议可以读取指定协议的协商端口的报文,并将协商出的端口加入server-map表,用来放行流量,相当于创建了一条临时的精细的安全策略。
4. 防火墙如何处理nat?
防火墙关于nat的安全策略仍按转换前的样子写,因为安全策略执行的位置类比为房间的话,是在房间内部,而nat转换相当于是在门口,所以安全策略按照原来的ip和区域写就好。
5. 有那些防火墙?以及防火墙的技术分类?
防火墙从技术层面可以分为两类:包过滤防火墙和应用代理防火墙,其中包过滤防火墙又可以分为静态包过滤防火墙和动态包过滤防火墙,动态包过滤防火墙也叫状态监测防火墙。
包过滤防火墙工作在OSI七层模型的网络层和传输层,包过滤防火墙通过检测到达防火墙的数据包的包头信息,只有满足防火墙过滤条件的数据包才会被放行或转发到相应的网络接口。
应用代理防火墙工作在 OSI 七层模型的最高层应用层。应用代理防火墙适用于特定的互联网服务,例如 HTTP(超文本传输)、FTP(远程文件传输)。代理服务位于内部网络和Internet之间,由代理服务来处理客户端和服务端之间的网络连接,将用户对远程服务端的服务请求根据已经制定的安全规则向远程服务器提交请求。对于客户端的网络服务请求,代理服务并不会全部提交到远程服务器,它会根据代理服务器设置的安全规则和客户端的请求信息决定是否要代理发送该请求。
839
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
