防火墙的分类

防火墙的发展历程

一、包过滤防火墙

防火墙的历代发展其实是不断在更新变化的，最早我们所用的防火墙叫“包过滤防火墙”

功能：基于网络数据包的SIP、DIP、SP、DP、协议号去对流量进行管控，可以通过包过滤防火墙去实现特定类型的数据包通过/拦截掉。**（就是目前安全策略中所书写的内容）

工作原理：将数据包中网络层传输层携带的字段和我们定义好的规则（安全策略）进行匹配，他不关心数据包的内容，只关心数据包是不是按照我要求进行发送的。

优点和缺点

优点：配置逻辑简单，防火墙的转发效率高（我只关注头部信息【SIP、DIP、SP、DP、协议等信息是否满足】）。便于管理和配置

缺点：

1、不检查数据包的内容，会被欺骗。

2、正常的一次流量交互，需要配置来回两条安全策略

怎么存在欺骗：由于防火墙只查看数据包的网络层和传输层头部的指定信息，不查看数据包的内容，只要匹配上头部信息，就可以转发，

当恶意主机使用假冒的IP地址，去访问指定的业务主机，只要头部字段可以匹配上就可以通信

举个例子：假设要进学校，门岗只看你有没有工牌，不具体看工牌上的照片和持牌人长的一样不一样，只要有牌及让你过

------------------------------------------------------------------------------------------------包过滤防火墙的机制太傻逼了

二、状态检测防火墙：

状态检测防火墙：（门卫大爷多了一个小本本【****会话表session table****】

功能：不仅检查数据包头部信息（SIP、DIP、协议号、端口号、安全区域），**还能够维护链接状态（上下文是否衔接---两个报文是否衔接）和查看报文内容。**

工作原理：防火墙会维护链接状态来跟踪通信的情况，从而检查出进进出出的数据包是不是一个合法的数据包（能否匹配上我刚刚维护的条目）【安全策略可以只写单向通信的策略，因为回来的数据包直接匹配会话表就回来了】

怎么理解这个会话表呢：

例子：假设张三要请假，拿着请假条到门岗那里，进行等级姓名、身份证号、手机号等信息，张三出出去之后，请假条丢了，被李四捡到了

李四拿着请假条想去学校里面，到学校之后，门岗要求李四报一下张三等级的个人信息（姓名、身份证号、手机号等），李四报不上，门岗就不让李四进去，--------------这个登记表就可以理解成为防火墙的会话表

假条就可以理解成安全策略，有假条才可以出去，才可以跨区域访问

优点：在包过滤防火墙的基础上，多了一个检查内容的操作（比对会话表），更加安全。

缺点：检查的内容对比于包过滤防火墙来说多了一些，所以说**防火墙性能可能降低了**一点。

（你说的话带不带脏字之类的，我不care）

查看会话表信息：

假设两台主机连接在防火墙上，一个为Trust，一个为Untrust区域，安全策略已经做好了，两台主机之间ping测试，查看会话表信息

IP后面并不是端口号：

因为ICMP是基于网络层的协议，也就意味着它是被IP头部进行封装的，不是被传输层头部进行封装的，

这个是一个随机的序号，不是端口号

注意：每次Ping测试，都会生成一次ICMP报文的会话，

流量到达防火墙之后，匹配顺序：

1、防火墙先匹配会话表

2、防火墙再匹配路由表

3、防火墙再匹配安全策略

1、如果一条回来的流量可以匹配到会话表，哪怕没有安全策略，也可以允许回程流量进来

2、当匹配不到会话表时，再匹配路由表，确定流量出接口和入接口的安全区域，再去匹配安全策略，如果安全策略允许通过，则允许流量进来并生成会话表，反之拒绝通过

防火墙生成会话有两个场景：

1、开启了状态检测机制：首包生成会话

什么叫做首包：通信双方一次交互的报文的第一个报文，叫做首包

2、关闭了状态检测机制：通信双方之间每一次交互报文都会生成会话表----现网中一般不会关闭状态检测机制

来回路径不一致场景下，需要关闭状态检测机制：后续会讲

----------------------------------------------------------------------------------------------------------------状态检测防火墙对上下报文会话的衔接进行检车，并检查报文内容

UTM统一威胁管理防火墙：

UTM（统一威胁管理） 状态检测防火墙的PLUS版本

既具备状态检测防火墙的会话表之类的基础机制，又支持进行一些IPS（入侵防护）、AV（反病毒）、内容安全（URL过滤）

不仅观察你上下文是否衔接上来，我还看看你里面说的话有没有一些我严禁出现的话语。

数据包是否合法合理合规（有没有病毒）-----说白了相对于状态检测防火墙增加了一个内容检测和过滤

NGFW（下一代防火墙）**UTM的PLUS版本===状态检测防火墙的max pro----------------六边形战士

既具备状态检测防火墙的会话表之类的基础机制，

也具备UTM的IPS、AV、内容安全等功能。

同时也支持应用识别功能

在现网中，网络设备一般都是专项专用的，

想要保护web服务器，部署WAF设备

想要防止入侵，部署IPS设备，看看流量是否带毒，或者是否有入侵行为

想要负载分担，部署LB设备

想要防止DDOS攻击，部署autiDDOS设备

想要对公司内网用户上网做限制，部署上网行为管理设备

这些功能NGFW防火墙也具备，但是性能必定对于指定场景部署的安全设备要好

如果小公司，检测和转发压力较小，部署一个也可以，但是网络规模大，或者要保护的服务器过多，那么建议专项专用

防火墙既具备路由器和防火墙的基本功能，也具备控制报文转发，防攻击、防病毒、木马

防火墙默认具备路由功能，但是性能肯定没有专门的路由器转发性能要好

防火墙默认也具备交换机功能，只需要将防火墙的接口切换成二层接口即可