一、防御对象
授权用户
非授权用户
防火墙是一种隔离(非授权和授权区域)进行隔离(数据流量的限制)
二、防火墙的区域:
![](https://img-blog.csdnimg.cn/img_convert/480b9164f54d8cd07352e64609961e72.png)
(1)一般按照每两个区域的接口处放置防火墙
(2) 区域拥有不同的安全等级,内外网(trust)一般是100,外网(untrust)一般是0,服务区(DMZ)一般是50。
三、防火墙技术(现在的防火墙利用的是session和server-map)
1.包过滤防火墙——访问控制列表——三层技术
简单、速度慢
检查的颗粒度较小
2.代理防火墙——中间人技术——应用层
1.代理技术只能用在特定的应用(http和ftp),应用间不能通用
2.技术复杂,速度慢
3.能防御应用层威胁,内容威胁
3.状态防火墙——会话追踪技术——三层、四层
原理是增加一个会话表,用来查看是否匹配
首包机制
细颗粒度
速度快
4.会话追踪技术
一般的防火墙都是默认拒绝所有,我们需要写策略允许哪些放行,再写防火墙策略的时候我们需要写两个区域(trust和untrust),之后写允许的策略。
![](https://img-blog.csdnimg.cn/img_convert/30ddeeb4a0411e137bf227d9c5e27969.png)
![](https://img-blog.csdnimg.cn/img_convert/e177efb2320ea10314035f89dfd67429.png)
首先客户端A会发送一个数据包(源ip、目的ip、源端口、目的端口、flag),在通过防火墙的时候会进行首包匹配,也就是防火墙会进行检测会话包,由于是首次发送所以没有会话包,防火墙就会检查策略发现有相关策略这时候防火墙会放行该,之后将这个数据包生成会话包(包括源和目标的所有包),发送给我们的客户端B。当我们客户端B想要去发包去给客户端A的时候,他的包到达防火墙,我们的防火墙会检查客户端B的会话包,由于我们前面传输数据包已经生成了一个会话包,这个时候我们的防火墙会进行会话表查询,查询有就直接放行了.
5.UTM——深度包检查技术——应用层
同意威胁管理
其其实就是将网关和状态防火墙整合在一起的
过程:
流量来到UTM后先进的防火墙,然后交给IPS进行处理,之后交给反垃圾邮件处理,之后交给AV(防毒墙)处理
6.下一代防火墙(现在最常用)
IPS(入侵检测)与防火墙深度集成
应用感知与全栈可视化
利用防火墙以外的信息,增强管控能力
四、防火墙配置
![](https://img-blog.csdnimg.cn/img_convert/f31cba61e7028e959aae11cb8ee76132.png)
trust到DMZ
只需要在trust到DMZ做一个防火墙就可以了
2.2.2.2到1.1.1.1
我们是首先会利用GRE做一个隧道通过防火墙和路由器,有时候是1.1.1.1到2.2.2.2,有时候是2.2.2.2到1.1.1.1,我们并不知道谁先访问谁,所以不知道首包应该从哪发起,这时候我们就需要给隧道两边都做一个MGR的策略,也就是local到untrust一个策略,untrust到local一个策略,之后在trust到untrust在做一个策略。