防火墙的核心任务:控制和防护
防火墙的原理:通过安全策略来对流量进行控制和防护
防火墙的性能评判标准:吞吐量:单位时间内防护墙处理的数据量
防火墙一定程度上就是二层交换机和三层路由器的集合
一、防火墙发展历程
1、包过滤防火墙---一个严格的规则表(ACL相当于)
防火墙的安全策略在进行匹配时,自上向下逐一匹配,匹配上则不再向下匹配,结尾隐含一条 拒绝所有的规则。
判断信息:源IP、源端口、目标IP、目标端口、协议(五元组)
工作范围:网络层、传输层
缺点:
1,因为只关注三四层数据,无法检测应用层,则无法充分的识别安全风险
2,需要逐包匹配检测,则效率较低。可能会成为网络的瓶颈。
路由器解决转发效率低是这样:路由器解决包转发太慢的办法是:首包检测,只有第一个包进行查询路由表,后面的包都不需要;其他路由器也是一样,只有首包需要进行查询路由表,后面的按着转发就行;
2、应用代理防火墙---(每个应用都要添加代理)
缺点:
1,效率变低
2,可伸缩性变差:每一种应用都需要开发对应的代理功能,否则无法代理
3、状态检测防火墙---首次检查建立会话表
优点:有会话表技术
会话表技术:说白了就是首包检测,后面的包就不必须要检测了,直接对着会话表看就行,表上是允许就允许;通过5元组进行一个数据流的识别(五元组相同就是同一个数据流)
4、入侵检测系统IDS ---网络摄像头,检测已知威胁
IDS可以发现安全风险,可以记录,分析以及反馈,但是,并不会直接处理或者消除风险 --- 一种侧重于风险管理的安全设备 --- 存在一定的滞后性
5、入侵防御系统IPS ---抵御已知威胁,侧重于风险控制的安全设备
IPS和IDS是针对具有威胁的许多行为,如暴力破解,而不是针对含有木马的文件,它是一种控制的病毒
6、防病毒网关 --AV ---针对的是病毒的文件
IPS和IDS是针对行为方面的;AV是针对含有病毒的文件,威胁的文件
7、Web应用防火墙(WAF)---专门用于保护Web应用
8、统一威胁管理(UTM)---多合一安全网关:串联部署
每个安全设备都有一个安全侧重点,如IDS是对内网里面的数据进行一个监控,而IPS主要是对检查出来的威胁进行一个处理,所以每个安全系统的侧重点都不相同;
UTM就是对FW,IDS,IPS,AV,WAF 这些安全系统进行了一个单纯简单的总和;(但是不具有web应用的防护功能)
UTM:把多个功能进行集中串联,所以他是具备着大多数的防御设备的功能,但是因为是串联的,所以还是需要层层筛选;
9、下一代防火墙(NGFW) ---升级版的UTM
功能基本都同 UTM统一威胁管理一样,最重要的是UTM是串行连接,NGFW是并行连接
升级点:并行连接,只检测一次,将检测出来的值供给所有功能用;
二、防火墙其他功能
1、访问控制,对进来或出去的数据流量进行一个目标访问控制,当目标网站是爱奇艺时直接禁止掉;
2、地址转换:通常都是在防火墙上面进行NAT地址转换
3、网络环境支持:支持多种网络环境,适应多种网络环境
4、带宽管理:内外网的数据交换都是要通过防火墙的,所以可以对内网与外网的胡数据交换量进行控制,俗称带块管理
5、入侵检测和攻击防御:对进来的数据流量进行一个威胁检测和防御
6、用户认证:防火墙服务器可被用户登录认证
7、高可用性:NGFW防护墙是集合多个功能为一身的,且适用场合很多;几乎所有要访问公网的设备都需要NGFW防火墙
三、防火墙的组网
1、防火墙的管理方式
带内管理:通过网络对设备进行远程管理 如:telnet,SSH,web,SNMP(这个是一次连接多个设备进行同时操作多个设备)
带外管理:console,MINI USB;不是通过远程连接,而是通过物理线连接进行管理
2、防火墙等级
3、防火墙管理员
本地认证 --- 用户密码信息存储在防火墙本地,有防火墙判断是否通过认证
服务器认证 --- 对接第三方服务器,用户信息存储在第三方服务器上,由防火墙将用户信息推 送给服务器,由服务器进行判断,并返回结果,防火墙做出登录与否的操作。
服务器/本地认证 --- 正常情况使用服务器认证,如果服务器认证失败,则直接认证失败,不 进行本地认证,只有在服务器对接失败的时候,才采取本地认证。
4、防火墙接口
三层接口:可以配置IP地址的接口
二层接口:
普通二层接口
接口对---“透明网线”:可以讲一个或两个接口配置成一个接口进,将不需要查看MAC地址表,直接从另一个接口处;可以进行拦截流量
旁路检测接口:知识检查流量,但是不能拦截
虚拟接口:环回接口、子接口、Vlanif、Tunnel、链路聚合
虚拟系统--VRF:互通使用的接口,每创建一个虚拟系统,将自动生成一个虚拟接口,仅需要配置IP地址即可
5、防火墙安全区域
Trust---信任区域
Untrust--非信任区域
Local--防火墙上所有的接口都属于这个区域
将一个接口划入某一个区域,则代表将这个接口所连接的网络划分到对应区域中,而接口本身,永远属于local区域
Dmz:非军事化管理区域:放置一些对外开放的服务器
优先级:
1---100:从优先级高的区域到优先级低的区域是出方向(outbound)
从优先级低的区域到优先级高的区域是入方向(inbound)
6、防火墙模式
1、路由模式:
1,接口IP地址,区域划分
2,写内网的回报路由
3,安全策略
4,内到外的NAT
5,服务器映射
2、透明模式
1,接口配置VLAN,以及划分区域
2,安全策略
3,增加设备的管理接口,用于控制管理设备以及设备的自我升级
3、旁路检测模式
4、混合模式