防火墙的发展

传统防火墙（包过滤防火墙）

传统的包过滤防火墙对于需要转发的报文，会先获取报文头信息，包括报文的源IP地址、目的IP地址、IP层所承载的上层协议的协议号、源端口号和目的端口号等，
然后和预先设定的过滤规则进行匹配，并根据匹配结果对报文采取转发或丢弃处理。
工作范围：网络层、传输层（3-4层）
优势：对于小型站点容易实现，处理速度快，价格便宜
劣势：规则表很快会变得庞大复杂难运维，只能基于五元组
5五元组 英文名称为five-tuple,或5-tuple，通常指由源Ip (source IP), 源端口(source port),目标Ip (destination IP), 目标端口(destination port),4层通信协议 (the layer 4 protocol)等5个字段来表示一个会话

传统防火墙（状态检测防火墙）

包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。
是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行。
工作范围：数据链路层、网络层、传输层（2-4层）
优势：主要检查3-4层能够保证效率，对TCP防御较好
劣势：应用层控制较弱，不检查数据区

传统防火墙（应用代理防火墙）

工作范围：应用层（7层）
通过代理技术参与到一个TCP连接的全过程，其特点是完全“阻隔”了网络通信流，
通过对每种应用服务编制专门的代理程序，实现监视和控制应用层通信流的作用，在用户层和应用协议层间提供访问控制
优势：检查了应用层的数据
劣势：检测效率低，配置运维难度极高，可伸缩性差

入侵检测系统（IDS）——网络摄像头

根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头
能够清晰了解网络环境中发生了什么事情
工作范围：2-7层
分析方式： 1、基于规则入侵检测； 2、基于异常情况检测； 3、统计模型分析呈现；

入侵防御系统（IPS）

工作范围：2-7层
根据已知的安全威胁生成对应的过滤器（规则），对于识别为流量的阻断，对于未识别的放通
对已知的威胁进行防御

防病毒网关（AV）——基于网络侧识别病毒文件

判断信息：数据包
工作范围：2-7层
目的：防止病毒文件通过外网络进入到内网环境

Web应用防火墙（WAF）

防止基于应用层的攻击影响Web应用系统
工作范围：应用层（7层）
①代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制
②特征识别：通过正则表达式的特征库进行特征识别
③算法识别：针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

统一威胁管理（UTM）

工作范围：2-7层（但是不具备web应用防护能力）
目的：将多种安全问题通过一台设备解决
优点：功能多合一有效降低了硬件成本、人力成本、时间成本
缺点：模块串联检测效率低，性能消耗大

下一代防火墙（NGFW）

包含功能：FW、IDS、IPS、AV、WAF
工作范围：2-7层
和UTM的区别：与UTM相比增加的web应用防护功能；UTM是串行处理机制，NGFW是并行处理机制；NGFW的性能更强，管理更高效