防火墙概述

刘正2001

已于 2022-07-19 20:29:18 修改

阅读量2.3k

点赞数 4

文章标签：网络安全

于 2022-07-19 20:26:48 首次发布

本文链接：https://blog.csdn.net/weixin_52194536/article/details/125877952

版权

*#一、防火墙概述**

**1-1 **防火墙概念

区域划分：

1.公共外部网络，如 Internet
2.内联网（Intranet），如某公司或组织专用网络，网络访问限制在组织内部
3.外联网（Exranet），内联网的扩展延伸，组织与合作方间进行通信
4.军事缓冲区域（DMZ），介于内部网络与外部网络之间的网络段，放置公共服务设备

在这里插入图片描述

1-2 防火墙的功能
在安全区域划分的基础上，通过防火墙，控制安全区域间的通信，隔离有害通信，阻断网络攻击。一般安装在不同的安全区域边界处，用于网络通信安全控制，由专用硬件或软件组成。总之，防火墙是一种网络安全保障手段，是网络通信时执行的一种访问控制尺度,其主要目标就是通过控制入、出一个网络的权限，并迫使所有的连接都经过这样的检查，防止一个需要保护的网络遭受外界因素的干扰和破坏。在逻辑.上，防火墙是一个分离器，一个限制器，也是一个分析器，有效地监视了内部网络和Internet 之间的任何活动，保证了内部网络的安全;
在物理实现.上，防火墙是位于网络特殊位置的一组硬件设备路由器、计算机或其他特制的硬件设备。防火墙可以是一一个独立的系统，也可以在一一个进行网络互连的路由器上实现防火墙。
在这里插入图片描述

1-3防火墙工作原理
防火墙是由一些软、硬件组合而成的网络访问控制器，它根据一定的安全规则来控制流过防火墙的网络包，如禁止或转发、能够屏蔽被保护网络内部的信息、拓扑结构和运行状况，从而起到网络安全屏障的作用。

二、防火墙发展

基于路由器的防火墙阶段。
用户化的防火墙工具套阶段。
建立在通用操作系统上的防火墙阶段。
具有安全操作系统的防火墙阶段。

###三、防火墙的基本类型

1.包过滤防火墙：是在 IP 层实现的防火墙技术，根据包的源 IP 地址、目的 IP 地址、源端口、目的端口及包传递方向等包头信息判断是否允许包过，对用户透明。基于包过滤技术的防火墙简称为包过滤型防火墙（Packet Filter）。
特点：根据定义的过滤规则审查,根据是否匹配来决定是否通过
优点：低负载、高通过率、对用户透明
缺点：对IP包伪造难以防范、不具备身份认证功能、不能检测高层攻击、过滤多效率下降快

2.应用网关
特点：工作在应用层，实现协议过滤和转发功能
优点：能提供比较成熟的日志功能
缺点：速度相对更慢

3.代理防火墙：代替受保护网络的主机向外部网发送服务请求，并将外部服务请求响应的结果返回给受保护网络的主机。由代理服务程序和身份验证服务程序构成，能够提供应用级别网络安全访问控制，如 FTP 代理、Telnet 代理、HTTP 代理。
特点：阻断内外网之间的通信，只能通过“代理”实现
优点：不允许外部主机直接访问内部主机；支持多种用户认证方案；可以分析数据包内部的应用命令；可以提供详细的审计记录
缺点：速度慢，对用户不透明，协议不同就需要不同的代理，不利于网络新业务

4.状态检测防火墙：利用 TCP 会话和 UDP “伪”会话的状态信息进行网络访问控制。建立并维护一张会话表，当有符合已定义安全策略的 TCP 连接或 UDP 流时，防火墙会创建会话项，依据状态表项检查，与会话相关联的包才能通过。（自适应/动态包过滤）
特点：通过状态检测技术动态记录、维护各个连接的协议状态
优点：效率很高，动态修改规则可以提供安全性
主要步骤：

接收到的数据包
检查数据包有效性，若无效，则丢弃并审计
查找会话表，若找到，进一步检查数据包的序列号和会话状态，如有效，则进行地址转换和路由，转发该数据包；否则，丢弃并审计
当会话表中没有新到的数据包信息时，查找策略表，若符合，则增加会话条目，进行地址转换和路由，转发数据包了否则，丢弃并审计

5.自适应代理
特点：根据用户的安全策略，动态适应传输中的分组流量
优点：状态检测+代理

四、防火墙有哪些接口模式？

防火墙有四种接口模式，分别是 L3 模式、L2 模式、L1 模式和 TAP 模式。
在这里插入图片描述
L1 ~ L3 模式是将防火墙进行串连，TAP 模式是防火墙进行旁挂。

在这里插入图片描述

##### 五、防火墙一些产品及厂商

在这里插入图片描述
华为作为著名的网络设备厂商，2001年便发布了首款防火墙插卡，而后根据网络发展及技术需求，推出了一代又一代防护墙及安全系列产品。
一、华为防火墙产品简介

USG2000、USG5000、USG6000和USG9500构成了华为防火墙的四大部分，分别适用于不同的网络需求。其中，USG2000和USG5000系列定位于UTM（统一威胁管理）产品，USG6000系列属于下一代防火墙产品，USG9500系列属于高端防火墙产品。接下来详细介绍一下各个版本系列防火墙的区别！
1.USG2110

USG2110系列是华为针对中小型企业及连锁机构等发布的防火墙设备，其功能包含防火墙、UTM、虚拟专用网、路由、无线等。USG2110系列防火墙具有性能高、可靠性高、配置方便等特性，且价格相对较低，支持多种虚拟专用网组网方式，为用户提供安全、灵活、便捷的一体化组网解决方案。如图：
华为防火墙简介及其工作原理
2.USG6600

USG6600系列是华为面向下一代网络环境防火墙产品，适用于大中型企业及数据中心等网络环境，具有访问控制精准、防护范围全面、安全管理简单、防护性能高等特点。可进行企业内网边界防护、互联网出口防护、云数据中心边界防护、虚拟专用网远程互联等组网应用。如图：
华为防火墙简介及其工作原理
3.USG9500

USG9500系列包含USG9520、USG9560、USG9580三种系列，适用于云服务提供商、大型数据中心、大型企业园区网络等。它拥有最精准的访问控制、最实用的NGFW特性、最领先的“NP+多核+分布式”结构即最丰富的虚拟化，被称为最稳定可靠的安全网关产品，可用于大型数据中心边界防护、广电和二级运营商网络出口安全防护、教育网出口安全防护等网络场景等。如图：
华为防火墙简介及其工作原理
4.NGFW

NGFW即下一代防火墙，更适用于新的网络环境。NGFW在功能方面不仅要具备标准的防火墙功能，如网络地址转换、状态检测、虚拟专用网和大企业需要的功能，而且要实现IPS和防火墙真正的一体化，而不是简单地基于模块。另外，NGFW还需要具备强大的应用程序感知和应用可视化能力，基于应用策略、日志统计、安全能力与应用识别深度融合，使用更多的外部信息协助改进安全策略，如用户身份识别等。

传统的防火墙只能基于时间、IP和端口进行感知，而NGFW防火墙基于六个维度进行管理控制和防护，分别是应用、用户、内容、时间、威胁、位置。

在这里插入图片描述
1.北京天融信网络安全技术有限公司成立于1995年，是专业从事网络安全技术研究，产品开发和安全服务的高科技企业。据CCID的调查统计，天融信防火墙产品在2000年，2001年，2002年销售额和市场份额均居国内安全厂商之首。同时，唯一获得“2002年中国网络安全产品市场年度成功企业奖”，被业界推为“中国网络安全领导企业”

2.天融信NGFW®下一代防火墙的应用识别引擎综合运用单包特征识别、多包特征识别、统计特征识别等多种识别方式进行细粒度、深层次应用和协议识别，同时采用多层匹配模式与多级过滤架构及基于专利的加密流量识别方法，实现对应用层协议和应用程序的精准识别。同时，天融信NGFW®下一代防火墙支持内容深度过滤，通过对多种网络协议的内容进行读取分析，从精确匹配的关键字到内容模糊查找，从基于文件内容到基于文件属性的检测，从被动的事件上报到主动拦截，全方位的数据安全防护措施能够真正的帮助企业实现网络数据安全。