防火墙的作用:

访问间的控制,提供边界安全

部门间控制

内部网和外部网的控制

防火墙的技术

1.包过滤防火墙:访问控制列表,对逐个包的过滤。是最原始防火墙的形态。

2.代理服务器:软件防火墙,就是一个代理服务器。工作原理一模一样。

client把请求交给防火墙,防火墙代为请求server的资源,server把资源回馈给防火墙,防火墙吧信息回馈给client。对于外部的server而言他根本就不知道有个clinet在访问它。它只是认为代理服务器的外部地址再访问它,它完全隐藏了client的所有信息。有两个tcp的连接。client和防火墙有一个tcp链接,防火墙和server有一个tcp的连接。

问题:

软件防火墙比较慢,使用cpu来处理的,tcp的数量比较多,性能比较差,任何一个运用都需要代理服务器进程来为这个服务提供服务,最安全的。代理防火墙能够对7层进行监测。

3.状态化监控的包过滤:维护了状态的表项,一个tcp/udp出去了我会记录这个表项,有个tcp源端口目的端口源ip目的ip序列号什么的。相应放回的流量可以让他不受阻碍的返回。后续可能第一个包会查询控制列表,后续的包完全看状态根本不看控制。因为这个包有以前连接的部门,因为有状态化的表项。所以可以回来。速度比较快。在硬件防火墙广泛被使用。

现在有的防火墙把状态化的包过滤和代理服务器做了结合。对大部门数据作为状态化包过滤。提供了速度。但是要求比较严格的例如http,作为代理服务器类型的防火墙。实行增强型的。

但现在的主流是状态化的包过滤防火墙。

它可以工作在两个模式:

1.一个是包的模式:

2.连接的模式

当你第一个包,初始化包,抵达防火墙的时候,进行访问控制列表的检测。如果这个包,不是初始化包,是以前连接的一个包的返回,这时候不会对包进行检测,而是对连接进行检测。如果是以前连接的部分就放过去。因为是基于状态的检测,所以性能比较高。正常情况下,只能为tcp和udp做状态化的检测。到7.0以后能检测更多的协议。比如非状态的snp,同样可以做到监控、

6.0和7.0防火墙的比较

6.0的防火墙跟路由器没有太多的区别,基本差不多,提供了一些简单的防御功能。但是7.0功能已经大大的提升了。

1.操作系统是私有化系统,代码精简。叫os。

2.状态监控包过滤

3.基于用户的认证。当用户访问某个资源,提示用户提供用户和密码,认证成功,才可以访问。现在增加https

4.协议和应用层监控。可以对很多应用层做设置。

5.模块化的policy,只能做llq。但可以做应用层的监控防护,或攻击的防御。

6.vpn vpn3000的浓缩版,功能很强大。全部集成到防火墙

7.虚拟防火墙。比如idc有很多客户,以前没有保护,现在可以放个防火墙模块,设置虚拟防火墙,为每个客户进行保护。收取费用。

8.透明防火墙。可以做到2层,就感觉是一个安全的交换机,而不是路由器。透明的中间设备。

9.网页的网管

私有化操作系统,性能会更好些

状态监控包过滤,记录源目ip,端目端口,序列号,flag随机化序列号

用户认证:用户穿越防火墙,弹出一个窗口,让你输入用户名和密码。成功验证后才能访问希望访问的资源,增加了https服务。

应用层感知的防火墙。http,感知就是http,应用层的过滤和防护,主要的两个功能

1.保护协议正常工作

2.应用程序安全(大大增强了)

mqc

qos,只能做police和llq,

inspect:改变端口的时候起作用,现在可以基于acl或者vpn的流量作监控,

ips:ips模块

police:限速

priority;优先级队列

vpn:几乎支持所有的vpn,继承了几乎所有的vpn3000的功能,lan-to-lan,remote vpn,ipsec vpn,ssl vpn。

pix不能支持ssl vpn,不能插模块。

虚拟防火墙:65防火墙继承而来的

failover:可以实现双active/active,两个可以同时工作。

透明防火墙:1.不想改变现有地址规划,2.放行一些3层fw不能穿越的2层流量(mpls,pppoe),有些网络流量通过3层无法放过。

网页的网管:可以完全不用命令行。