防火墙相关知识总结

防火墙相关知识

防火墙概念和功能

 概念：防火墙（英语：Firewall）技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备，帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障，以保护用户资料与信息安全性的一种技术。

 功能：防火墙功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题。其中处理措施包括隔离与保护，同时可对计算机网络安全当中的各项操作实施记录与检测，以确保计算机网络运行的安全性，保障用户资料与信息的完整性，为用户提供更好、更安全的计算机网络使用体验。
 其中中的控制，隔离，记录分别代表着：
 控制：在网络连接点上建立一个安全控制点，对进出数据进行限制。
 隔离：将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护。
 记录：对进出数据进行检查，记录相关信息。

为什么要使用防火墙技术

1、防火墙是网络安全的屏障；
2、防火墙强化了网络安全策略；
3、监控审计；
4、防火墙防止内部信息的泄露；
5、日志记录与事件通知。

防火墙技术中的主要技术

静态包过滤 
依据数据包的基本标记来控制数据包；
技术逻辑简单、易于实现，处理速度快；
无法实现对应用层信息过滤处理，配置较复杂。

应用代理 
连接都要通过防火墙进行转发；
提供NAT，隐藏内部网络地址。

状态检测 
创建状态表用于维护连接，安全性高；
安全性高但对性能要求也高；
适应性好，对用户、应用。

防火墙的部署

防火墙的部署模式
1.路由模式
当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。
采用路由模式时，可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而，路由模式需要对网络拓扑进行修改（内部网络用户需要更改网关、路由器需要更改路由配置等），这是一件相当费事的工作，因此在使用该模式时需权衡利弊。
2.透明模式
如果防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到防火墙的存在。
采用透明模式时，只需在网络中像放置网桥（bridge）一样插入该防火墙设备即可，无需修改任何已有的配置。与路由模式相同，IP 报文同样经过相关的过滤检查（但是IP 报文中的源或目的地址不会改变），内部网络用户依旧受到防火墙的保护。
3.混合模式
如果防火墙既存在工作在路由模式的接口（接口具有IP 地址），又存在工作在透明模式的接口（接口无IP 地址），则防火墙工作在混合模式下。混合模式主要用于透明模式作双机备份的情况，此时启动VRRP（Virtual Router Redundancy Protocol，虚拟路由冗余协议）功能的接口需要配置IP 地址，其它接口不配置IP地址。

防火墙的部署位置
1.可信网络与不可信网络之间 
2.不同安全级别网络之间 
3.两个需要隔离的区域之

防火墙的部署方式
1.单防火墙（无DMZ）部署方式 
2.单防火墙（DMZ）部署方式 
3.双防火墙部署方防火墙的局限性    

防火墙的局限性

一、防火墙不能防范不经过防火墙的攻击。没有经过防火墙的数据，防火墙无法检查。
二、防火墙不能解决来自内部网络的攻击和安全问题。防火墙可以设计为既防外也防内，谁都不可信，但绝大多数单位因为不方便，不要求防火墙防内。
三、防火墙不能防止策略配置不当或错误配置引起的安全威胁。防火墙是一个被动的安全策略执行设备，就像门卫一样，要根据政策规定来执行安全，而不能自作主张。
四、防火墙不能防止可接触的人为或自然的破坏。防火墙是一个安全设备，但防火墙本身必须存在于一个安全的地方。
五、防火墙不能防止利用标准网络协议中的缺陷进行的攻击。一旦防火墙准许某些标准网络协议，防火墙不能防止利用该协议中的缺陷进行的攻击。
六、防火墙不能防止利用服务器系统漏洞所进行的攻击。黑客通过防火墙准许的访问端口对该服务器的漏洞进行攻击，防火墙不能防止。
七、防火墙不能防止受病毒感染的文件的传输。防火墙本身并不具备查杀病毒的功能，即使集成了第三方的防病毒的软件，也没有一种软件可以查杀所有的病毒。
八、防火墙不能防止数据驱动式的攻击。当有些表面看来无害的数据邮寄或拷贝到内部网的主机上并被执行时，可能会发生数据驱动式的攻击。
九、防火墙不能防止内部的泄密行为。防火墙内部的一个合法用户主动泄密，防火墙是无能为力的。
十、防火墙不能防止本身的安全漏洞的威胁。防火墙保护别人有时却无法保护自己，目前还没有厂商绝对保证防火墙不会存在安全漏洞。因此对防火墙也必须提供某种安全保护。

划分防火墙设备类型

从软硬角度划分
第一种：软件防火墙
软件防火墙运行于特定的计算机上，它需要客户预先安装好的计算机操作系统的支持，一般来说这台计算机就是整个网络的网关。俗称“个人防火墙”。软件防火墙就像其它的软件产品一样需要先在计算机上安装并做好配置才可以使用。防火墙厂商中做网络版软件防火墙最出名的莫过于Checkpoint。使用这类防火墙，需要网管对所工作的操作系统平台比较熟悉。
第二种：硬件防火墙
这里说的硬件防火墙是指“所谓的硬件防火墙”。之所以加上"所谓"二字是针对芯片级防火墙说的了。它们最大的差别在于是否基于专用的硬件平台。目前市场上大多数防火墙都是这种所谓的硬件防火墙，他们都基于PC架构，就是说，它们和普通的家庭用的PC没有太大区别。在这些PC架构计算机上运行一些经过裁剪和简化的操作系统，最常用的有老版本的Unix、Linux和FreeBSD系统。 值得注意的是，由于此类防火墙采用的依然是别人的内核，因此依然会受到OS（操作系统）本身的安全性影响。
传统硬件防火墙一般至少应具备三个端口，分别接内网，外网和DMZ区（非军事化区），现在一些新的硬件防火墙往往扩展了端口，常见四端口防火墙一般将第四个端口做为配置口、管理端口。很多防火墙还可以进一步扩展端口数目。
第三种：芯片级防火墙
芯片级防火墙基于专门的硬件平台，没有操作系统。专有的ASIC芯片促使它们比其他种类的防火墙速度更快，处理能力更强，性能更高。做这类防火墙最出名的厂商有NetScreen、FortiNet、Cisco等。这类防火墙由于是专用OS（操作系统）,因此防火墙本身的漏洞比较少，不过价格相对比较高昂。

防火墙基本划分：
包过滤防火墙、代理服务器防火墙、状态监视器防火墙。

常用防火墙

 H3C 防火墙
 H3C 新一代 F100 系列防火墙是 H3C 公司推出的新一代防火墙产品，能够满足中小企业不断变化的网络环境和日益丰富网络应用的需要。新一代 F100 系列防火墙继承 H3C 一贯的高性能、高可靠硬件平台，能够为用户提供线速、稳定的应用体验。新一代 F100 系列防火墙不但可以提供传统的基础安全功能，如状态检测、NAT、VPN、链路负载均衡等；同时通过统一的软件平台和处理引擎，新一代 F100 系列防火墙有效整合防火墙、入侵防御、应用层流量识别与控制、防病毒功能，为用户提供一体化的应用安全防护。

 华为防火墙
 USG2000、USG5000、USG6000 和 USG9500 构成了华为防火墙的四大部分，分别适合于不同环境的网络需求，其中，USG2000 和 USG5000 系列定位于 UTM（统一威胁管理）产品，USG6000 系列属于下一代防火墙产品，USG9500 系列属于高端防火墙产品。

 思科防火墙
 Cisco ASA 5500 系列自适应安全设备提供了整合防火墙、入 侵保护系统（IPS）、高级自适应威胁防御服务，其中包括应用安全和简化网络安全解决方案的 V P N 服务。

 天网防火墙
 “天网防火墙” 是我国首个达到国际一流水平、首批获得国家信息安全认证中心、国家公安部、国家安全部认证的软硬件一体化网络安全产品，性能指标及技术指标达到世界同类产品先进水平。

 Palo Alto Networks 防火墙
 Palo Alto Networks 防火墙提供一个可用于执行防火墙管理功能的带外管理端口 (MGT)。通过使用该 MGT 端口，可以将防火墙的管理功能与数据处理功能分开，从而保护对防火墙的访问权并提高性能。

 Checkpoint 防火墙
 Check Point 的下一代防火墙 (NGFW) 继续侧重于增强威胁防护技术，包括反勒索软件和 CPU 级仿真能力，提供跨所有网络分段的最具创新性和有效性的安全防护，能够随时随地保护客户免受任何威胁。

 绿盟防火墙
 绿盟 Web 应用防火墙（简称 WAF），用黑、白名单机制相结合的完整防护体系，将多种 Web 安全检测方法连结成一套完整（COMPLETE）的解决方案，并整合成熟的 DDoS 攻击抵御机制，能在 IPv4、IPv6 及二者混合环境中全面防御包括 OWASP TOP10 在内的多种 Web 攻击，保卫您的 Web 应用免遭当前和未来的安全威胁。

 天融信防火墙
 天融信防火墙是天融信公司凭借多年以来积累的安全产品研发与部署经验，为适应各个行业不同的网络应用环境，以及满足各类用户差异化的安全 防护需求，设计并研发的多业务高性能千兆防火墙系列产品。通过天融信防火墙产品来解决客户的具体安全需求。