什么是防火墙?
墙,始于防,忠于守。从古至今,墙予人以安全之意
一、防火墙的定义
1、防火墙分类:按物理特性划分、按性能划分、按防火墙结构划分、按防火墙技术划分
2、防火墙的功能
(1)访问控制
(2)地址转换
(3)网络环境支持
(4)带宽管理功能
(5)入侵检测和攻击防御
(6)用户认证
(7)高可用性
3、防火墙安全策略
防火墙安全策略作用:
根据定义的规则对经过防火墙的流量进行过滤筛选,再进行下一步操作。
4、安全策略分类
域间安全策略
域内安全策略
接口包过滤
二、 防火墙发展历程
传统防火墙(包过滤防火墙)——一个严格的规则表
判断信息:数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)
工作范围:网络层、传输层(3~4层)
优势:对于小型站点容易实现,处理速度快,价格便宜
劣势:规则表很快会变得庞大复杂难运维,只能基于五元组
传统防火墙(应用代理防火墙)——每个应用添加代理
判断信息:所有应用层的信息包
工作范围:应用层(7层)
优势:检查了应用层的数据
劣势:检测效率低,配置运维难度极高,可伸缩性差
传统防火墙(状态检测防火墙)——首次检查建立会话表
判断信息:IP地址、端口号、TCP标记
工作范围:数据链路层、网络层、传输层(2~4层)
优势:主要检查3-4层能够保证效率,对TCP防御较好
劣势:应用层控制较弱,不检查数据区
入侵检测系统(IDS)——网络摄像头
部署方式:旁路部署,可多点部署
工作范围:2~7层
目的:传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。
工作特点:根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头
分析方式:
(1)基于规则入侵检测;
(2)基于异常情况检测;
(3)统计模型分析呈现;
入侵防御系统(IPS)——抵御2-7层已知威胁
部署方式:串联部署
工作范围:2~7层
目的:IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御
工作特点:根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通
防病毒网关(AV)——基于网络侧识别病毒文件
判断信息:数据包
工作范围:2~7层
目的:防止病毒文件通过外网络进入到内网环境
Web应用防火墙(WAF)——专门用来保护web应用
判断信息:http协议数据的request和response
工作范围:应用层(7层)
目的:防止基于应用层的攻击影响Web应用系统
主要技术原理:
①代理服务:会话双向代理,用户与服务器不产生直接链接,对于DDOS攻击可以抑制
②特征识别:通过正则表达式的特征库进行特征识别
③算法识别:针对攻击方式进行模式化识别,如SQL注入、DDOS、XSS等
统一威胁管理(UTM)——多合一安全网关
包含功能:FW、IDS、IPS、AV
工作范围:2~7层(但不具备web应用防护能力)