关于防火墙知识点总结

防火墙

• 定义
  • 在安全需求不同的网络区域之间，通过即定原则对网络通信强度实施访问控制的安全设备
• 目的
  • 隔离外网和内网，以保护网络的安全性
• 功能
  • 路由，交换
    • 与路由器，交换机区别
      • 防火墙本质：控制，部署在网络边界，对进出的网络进行控制，核心特性：安全防护
      •  交换机本质：转发。交换机通过二层/三层交换机快速转发报文
      •  路由器本质：转发。连接不同的网络，保障互联互通，确保将报文发到目的地
  • 基本功能
    •  隔离
    •  访问控制
  •  其他功能
    •  基础组网和防护功能
    • 记录监控网络存取和访问
    •  限定内部用户访问特殊站点
    •  限制暴露用户点
    •  网络地址转换（nat技术）
      •  产生原因
        •  ipv4地址逐渐枯竭
        •  ipv6技术不能立即大面积替换
        •  各种延长IPv4寿命的技术不断出现，NAT就是其中之一
      •  目的
        •  实现大量私网地址对少量公网地址的转换，保障通信在基础上节约IP地址资源
          •  私网地址不能在公网中路由，否则将导致通信混乱
        •  对IP报文头中的源地址或目的地址进行转换，使大量私网IP地址通过共享少量的公网IP来访问公网
      •  分类
        •  基于源IP地址
          •  转换的方向
            • Inbound （低到高）   Outbound（高到低）
            • 端口是否转换
              •  No-Pat
                •  用于一对一的IP地址转换，端口不进行转换
              • 局限性
                •  如果地址池中的地址已经全部分配出去，则剩余内网主机访问外网时不会进行NAT转换，直到地址池中有空闲地址时才会进行NAT转换。
          •  NAPT
            •  源端口和源IP都转换，不同的内部地址映射到同一共有地址的不同端口上，多对一转换
      • 内网→外网，放行T到U的流量
      •  EASY-IP
        •  利用出接口的公网地址作为nat转换后的地址
    •  基于目的IP地址
      •  NAT sever
        •  使用一个公网地址来代表内部服务器对外地址
          • 外网→内网，放行U到T的HTTP流量
      •  目的NAT
        •  使设备自动将终端发往错误wap网关地址的报文自动转发给正确的wap网关
      •  no-reverse参数
        •  配置参数no-reverse后，设备只将公网地址转换成私网地址，不能将私网地址转换成公网地址。当内部服务器主动访问外部网络时需要执行outbound的nat策略。
        •  不带no-reverse参数的nat server后，当公网用户访问服务器时，设备能将服务器的公网地址转换成私网地址；同时，当服务器主动访问公网时，设备也能将服务器的私网地址转换成公网地址。
    •  双向NAT技术
      •  分类
        •  NAT server+NAT Inbound（域间双向nat）
          •  U到T
        •  NAT server+域内NAT
          • U到T NAT Server的流量，T到T的NAT流量
          •  防火墙将用户的请求报文的目的地址转换成FTP服务器的内网IP地址，源地址转换成用户对外公布的IP地址
          •  防火墙将FTP服务器回应报文的源地址转换成对外公布的地址，目的地址转换成用户的内网IP地址。
  •  优点
    •  实现IP复用，节约宝贵的地址资源
    •  地址转换过程对用户透明
    •  对内网用户提供隐私保护
    •  可实现内部服务器的负载均衡
  •  缺点
    •  网络监控难度加大
    • 限制某些具体应用
  •  nat地址池
    • 连续IP地址的集合，当来自私网的报文通过地址转换到公网IP时，将会选择地址池的某个地址作为转换后的地址
  •  NAT  ALG（应用级网关）
    • 特定应用协议的转换代理，可完成应用层数据携带的地址号及端口号信息的转换
    •  生成server map表
      •  配置nat server
        •  自动生成，用于存放global地址与Internet地址的映射关系
      • 配置nat no pat
        •  设备为已配置多通道协议产生的有实际流量的数据流建立server-map表
•  虚拟专用网（VPN）
•  定义：vpn是指依靠Internet服务提供商ISP和网络服务提供商NSP在公共网络中建立的虚拟专用通信网络
•  特点
  •  专用
  •  虚拟
    •  用户获得逻辑意义上的专网，这个公共网络称为：VPN骨干网
•  优点
  •  安全
  •  廉价
  •  支持移动业务
    •  支持随时随地可办公
  •  服务质量保证
• •  VPN网关通过对数据包加密和目标地址转换实现远程访问
  •  分类 
    •  组网类型分类
      • 网关与网关之间的VPN链路
        •  数据流在公网VPN节点之间转发，数据包转发在网络层实现，公网每个节点需为每个VPN建立专用的路由转发表
        •  为实现局域网之间的互通而产生
        •  包括ATM, Frame Relay， GRE,  MPLS VPN,  IPSec VPN
      •  主机与网关之间的VPN链路
        •  家庭或远程办公室通过拨号技术实现访问企业内部服务器，建立私有的网络连接
        •  包括；IPSec， PPTP,  L2TP over  IPSec，  SSL VPN
    •  业务用途划分
      •  远程访问虚拟网
        •  企业内部或远程办公需要，或商家提供B2C的安全访问服务
      • 企业内部虚拟网络
        •  总部与分支机构
      •  企业扩展虚拟网
        •  同行业进行访问
    •  实现层次分类
      •  Layer 2 VPN数据链路层