防火墙之下一代防火墙

什么是防火墙？

墙，始于防，忠于守。从古至今，墙予人以安全之意

一、防火墙的定义

1、防火墙分类：按物理特性划分、按性能划分、按防火墙结构划分、按防火墙技术划分

2、防火墙的功能

（1）访问控制

（2）地址转换

（3）网络环境支持

（4）带宽管理功能

（5）入侵检测和攻击防御

（6）用户认证

（7）高可用性

3、防火墙安全策略

防火墙安全策略作用：

根据定义的规则对经过防火墙的流量进行过滤筛选，再进行下一步操作。

4、安全策略分类

域间安全策略

域内安全策略

接口包过滤

二、 防火墙发展历程

传统防火墙（包过滤防火墙）——一个严格的规则表

判断信息：数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口（五元组）

工作范围：网络层、传输层（3~4层）

优势：对于小型站点容易实现，处理速度快，价格便宜

劣势：规则表很快会变得庞大复杂难运维，只能基于五元组

传统防火墙（应用代理防火墙）——每个应用添加代理

判断信息：所有应用层的信息包

工作范围：应用层（7层）

优势：检查了应用层的数据

劣势：检测效率低，配置运维难度极高，可伸缩性差

传统防火墙（状态检测防火墙）——首次检查建立会话表

判断信息：IP地址、端口号、TCP标记

工作范围：数据链路层、网络层、传输层（2~4层）

优势：主要检查3-4层能够保证效率，对TCP防御较好

劣势：应用层控制较弱，不检查数据区

入侵检测系统（IDS）——网络摄像头

部署方式：旁路部署，可多点部署

工作范围：2~7层

目的：传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。

工作特点：根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头

分析方式：

（1）基于规则入侵检测；

（2）基于异常情况检测；

（3）统计模型分析呈现；

入侵防御系统（IPS）——抵御2-7层已知威胁

部署方式：串联部署

工作范围:2~7层

目的：IDS只能对网络环境进行检测，但却无法进行防御，IPS主要是针对已知威胁进行防御

工作特点：根据已知的安全威胁生成对应的过滤器（规则），对于识别为流量的阻断，对于未识别的放通

防病毒网关（AV）——基于网络侧识别病毒文件

判断信息：数据包

工作范围：2~7层

目的：防止病毒文件通过外网络进入到内网环境

Web应用防火墙（WAF）——专门用来保护web应用

判断信息：http协议数据的request和response

工作范围：应用层（7层）

目的：防止基于应用层的攻击影响Web应用系统

主要技术原理：

①代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制

②特征识别：通过正则表达式的特征库进行特征识别

③算法识别：针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

统一威胁管理（UTM）——多合一安全网关

包含功能：FW、IDS、IPS、AV

工作范围：2~7层（但不具备web应用防护能力）

目的：将多种安全问题通过一台设备解决

优点：功能多合一有效降低了硬件成本、人力成本、时间成本

缺点：模块串联检测效率低，性能消耗大

下一代防火墙（NGFW）——升级版的UTM

包含功能：FW、IDS、IPS、AV、WAF

工作范围：2~7层

和UTM的区别：

与UTM相比增加的web应用防护功能；

UTM是串行处理机制，NGFW是并行处理机制；

NGFW的性能更强，管理更高效

三、防火墙的性能指标

性能指标1 — 吞吐量

性能指标2 — 时延

性能指标3 — 丢包率

性能指标4 — 背靠背

性能指标5 — 并发连接数

四、下一代防火墙组网简介

防火墙对设备本身进行防护

防火墙恢复出厂设置没有短接恢复，只能登陆设备界面恢复出厂

1、部署模式简介

下一代防火墙具备灵活的网络适应能力，支持：路由模式、透明模式、虚拟网线模式、混合模式、旁路模式。

2、接口

LACP优先级：32768

接口属性分为：物理接口、子接口、VLAN接口、聚合接口。

其中物理口可选择为：路由口、透明口、虚拟网线口、旁路镜像口。

根据接口不同工作层面，可以划分为：二层区域、三层区域、虚拟网线区域。

AF的部署模式是由各个接口的属性决定的。

3、路由接口

物理接口与AF设备面板上的接口一 一对应（eth0为manage口），根据网口数据转发特性的不同，