下一代防火墙概述

目录

1.防火墙概述

1.1定义

1.2防火墙分类

1.3防火墙功能

1.4防火墙的策略

2.防火墙发展史

2.1 包过滤防火墙：一个严格的规则表

2.2 应用代理防火墙：为每个应用添加代理

2.3 状态检测防火墙：建立会话表

2.4 入侵检测系统（IDS）：网络摄像头

2.5 入侵防御系统（IPS）：抵制2~7层已知威胁

2.6 防病毒网关（AV）：基于网络侧识别病毒文件

2.7 Web应用防火墙（WAF）：保护Web应用

2.8 统一威胁管理（UTM）：多合一安全网关

2.9 下一代防火墙（NGFW）：UTM的升级版

3.性能指标

3.1 吞吐量

3.2 时延

3.3 丢包率

3.4 背靠背

3.5 并发连接数

4.深信服下一代防火墙解决方案

4.1传统安全产品的形态

4.2 深信服的下一代防火墙

4.3 安全产品的其他特点：

---

 

1.防火墙概述

1.1定义

防火墙，顾名思义，阻挡的是火，此词起源于建筑领域，正是用来隔离火灾，阻止火势从一个区域蔓延到另一个区域。

引入到通信领域，防火墙也正是形象化地体现了这一特点：防火墙这一具体设备，通常用于两个网络之间的隔离。当然，这种隔离是高明的，隔离的是“火”的蔓延，而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击，而“人”是指正常的通信报文。那么，用通信语言来定义，防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性，灵活应用于网络边界、子网隔离等位置，具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

在实际应用中，由于公网地址的不足，我们多数是在企业网中使用局部私网也就是局域网，所以整个局域网的安全最重要的就是在私网和公网交界的地方，也就是网络出口出的设备上。因此我们一般在网络出口安放防火墙来保护整个局域网的边界安全。

路由器与交换机的本质是转发，防火墙的本质是控制和防护；防火墙的工作原理是通过设置安全策略，来进行安全防护。

1.2防火墙分类

（1）按物理特性：软件防火墙、硬件防火墙

（2）按性能：百兆级防火墙、千兆级防火墙

（3）按结构：单一主机防火墙、路由集成防火墙、分布式防火墙

（4）按防火墙技术：包过滤防火墙、应用代理防火墙、状态监测防火墙

1.3防火墙功能

随着防火墙的发展，防火墙能提供的安全功能也越来越多。主要是提供了以下7个安全功能：

1. 访问控制（防火墙是一种高级的访问控制设备）
2. 地址转换（都会部署在内外网之间，尤其是互联网出口，因此会涉及到地址转换问题）
3. 网络环境支持（2层或3层之间的内部连接，DHCP环境、动态路由环境、VLAN环境、ADSL拨号环境、SNMP网络管理环境）
4. 带宽管理QOS（可以根据业务进行不同的流量分配，以保证重要业务的应用）
5. 入侵检测和攻击防御
6. 用户认证 （多种用户认证方式）
7. 高可用性 （双机、多机/冷备、热备）

1.4防火墙的策略

一、安全策略

定义：安全策略是按一定规则，控制设备对流量转发以及对流量进行内容安全一体化检测的策略。规则的本质是包过滤。

主要应用：对跨防火墙的网络互访进行控制、对设备本身的访问进行控制。

防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙。

通过防火墙安全策略可以控制内网访问外网的权限、控制内网不同安全级别的子网间的访问权限等。同时也能够对设备本身的访问进行控制，例如限制哪些IP地址可以通过Telnet和Web等方式登录设备，控制网管服务器、NTP服务器等与设备的互访等。

二、策略原理

防火墙安全策略定义数据流在防火墙上的处理规则，防火墙根据规则对数据流进行处理。因此，防火墙安全策略的核心作用是：根据定义的规则对经过防火墙的流量进行筛选，由关键字确定筛选出的流量如何进行下一步操作。

在防火墙应用中，防火墙安全策略是对经过防火墙的数据流进行网络安全访问的基本手段，决定了后续的应用数据流是否被处理。NGFW会对收到的流量进行检测，检测出流量的属性，包括：源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务（源端口、目的端口、协议类型）、应用和时间段。

我们设置安全策略是为了对不同的访问者和被访问的对象进行安全防护，所以在这个基础上，就有了区域和接口的概念。

三、安全策略分类

域间安全策略用于控制域间流量的转发（此时称为转发策略），适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务（端口或协议类型）、用户等多种方式匹配流量，并对符合条件的流量进行包过滤控制（permit/deny）或高级的UTM应用层检测。域间安全策略也用于控制外界与设备本身的互访（此时称为本地策略），按IP地址、时间段和服务（端口或协议类型）等多种方式匹配流量，并对符合条件的流量进行包过滤控制（permit/deny），允许或拒绝与设备本身的互访。

缺省情况下域内数据流动不受限制，如果需要进行安全检查可以应用域内安全策略。与域间安全策略一样可以按IP地址、时间段和服务（端口或协议类型）、用户等多种方式匹配流量，然后对流量进行安全检查。例如：市场部和财务部都属于内网所在的安全区域Trust，可以正常互访。但是财务部是企业重要数据所在的部门，需要防止内部员工对服务器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测，阻断恶意员工的非法访问。

当接口未加入安全区域的情况下，通过接口包过滤控制接口接收和发送的IP报文，可以按IP地址、时间段和服务（端口或协议类型）等多种方式匹配流量并执行相应动作（permit/deny）。基于MAC地址的包过滤用来控制接口可以接收哪些以太网帧，可以按MAC地址、帧的协议类型和帧的优先级匹配流量并执行相应动作（permit/deny）。硬件包过滤是在特定的二层硬件接口卡上实现的，用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现，所以过滤速度更快。

2.防火墙发展史