防火墙--概述简介

个人学习整理，如涉及侵权，请联系我及时删除，谢谢！

个人学习整理，如涉及侵权，请联系我及时删除，谢谢！

个人学习整理，如涉及侵权，请联系我及时删除，谢谢！

---

 

防火墙分类:
性能划分：百兆级防火墙、干兆级防火墙、、、
按物理特性划分：软件防火墙、硬件防火墙
按防火墙结构划分：单一主机防火墙、路由集成防火墙、分布式防火墙、、、
按防火墙技术划分：包过滤防火墙、应用代理防火墙、状态监测防火墙、、、

防火墙功能：
1.访问控制
2.地址转换
3.网络环境支持
4.带宽管理功能
5.入侵检测和攻击防御
6.用户认证
7.高可用性

防火墙的发展历程：

 一、传统防火墙（包过滤防火墙）--一个严格的规则表

判断信息:数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)

工作范围:网络层、传输层(3-4层)

和路由器的区别:普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否

技术应用：包过滤技术

优势:对于小型站点容易实现，处理速度快，价格便宜

劣势:规则表很快会变得庞大复杂难运维，只能基于五元组

 

 

 

二、传统防火墙(应用代理防火墙)--每个应用添加代理

判断信息:所有应用层的信息包

工作范围:应用层(7层)

和包过滤防火墙的区别:包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。应用代理防火墙工作7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务

技术应用:应用代理技术

优势:检查了应用层的数据
劣势:检测效率低，配置运维难度极高，可伸缩性差

 

三、传统防火墙(状态检测防火墙)--首次检查建立会话表

判断信息:IP地址、端口号、TCP标记
工作范围:数据链路层、网络层、传输层(2-4层)
和包过滤防火墙的区别:包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配,是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行。

技术应用:状态检测技术
优势:主要检查3-4层能够保证效率，对TCP防御较好
劣势:应用层控制较弱，不检查数据区

 

四、入侵检测系统(IDS)--网络摄像头【一种特殊的“防火墙”：只检测不阻止】

部署方式:旁路部署，可多点部署
工作范围:2-7层
工作特点:根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头。

目的:传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。
分析方式:
1、基于规则入侵检测；
2、基于异常情况检测;
3、统计模型分析呈现;

 

 五、入侵防御系统(IPS)--抵御2-7层已知威胁【一种特殊的“防火墙”：可以对已知威胁进行防御】

部署方式:串联部署
工作范围:2-7层
工作特点:根据已知的安全威胁生成对应的过滤器(规则)，对于识别为异常流量的阻断，对于未识别的放通

目的:IDS只能对网络环境进行检测，但却无法进行防御，IPS主要是针对已知威胁进行防御

总结：IDS和IPS只能对系统漏洞本身的一个防御、但是对于针对外网的病毒文件是没有办法防御的

 

六、防病毒网关(AV)--基于网络侧识别病毒文件

判断信息:数据包
工作范围:2-7层
目的:防止病毒文件通过外网络进入到内网环境

和防火墙的区别:

传统的病毒检测方法：

MD5：完全匹配二进制序列

病毒特征码：特征码部分匹配二进制序列

规则匹配：正则表达式，当A出现时且B和C只有一个出现

沙箱：虚拟执行，开销大，潜伏期长

特点：字节信息、原始底层特征、人为定义

 

 七、Web应用防火墙(WAF)--专门用来保护web应用

判断信息:http协议数据的request和response。判断用户请求，如果匹配到了漏洞规则库，就会拦截

工作范围:应用层(7层)

目的:防止基于应用层的攻击影响Web应用系统

主要技术原理:

①代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制

②特征识别:通过正则表达式的特征库进行特征识别

③算法识别:针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

 

 八、统一威胁管理(UTM)--多合一安全网关

包含功能:FW、IDS、IPS、AV

工作范围:2-7层(但是不具备web应用防护能力)

目的:将多种安全问题通过一台设备解决

优点:功能多合一有效降低了硬件成本、人力成本、时间成本

缺点:模块串联检测效率低，性能消耗大

 

九、下一代防火墙(NGFW)--升级版的UTM

包含功能:FW、IDS、IPS、AV、WAF

工作范围:2-7层

和UTM的区别：与UTM相比增加的web应用防护功能；UTM是串行处理机制，NGFW是并行处理机制；NGFW的性能更强，管理更高效。

 

防火墙的性能指标：

性能指标1 - 吞吐量

吞吐量:防火墙能同时处理的最大数据量

有效吞吐量:除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率

衡量标准:吞吐量越大，性能越高

 

性能指标2 - 时延
定义:数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标

用于测量防火墙处理数据的速度理想的情况，测试的是其存储转发(Store andForward)的性能。

衡量标准:延时越小，性能越高

 

性能指标3 - 丢包率
定义:在连续负载的情况下，防火墙由于资源不足，应转发但是未转发的百分比

衡量标准:丢包率越小，防火墙的性能越高

 

性能指标4 - 背靠背
衡量标准:背靠背主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量(例如:NFS，备份，路由更新等)，而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。（比如防火墙平时只处理1000M的数据包，但是应对突发情况4000M的数据包也能处理，这就是背靠背能力）

 

性能指标5 - 并发连接数
定义:由于防火墙是针对连接进行处理的，并发连接数目是指防火墙可以同时容纳的最大的连接数目，一个连接就是一个TCP/UDP的访问。

衡量指标:并发连接数指标越大，抗攻击能力也越强。

 

 

一、传统防火墙防御模式：通过防御设备划分边界，基于IP/端口和特征进行判断。被动的、静态的防御

 以隔离为基础，基于信任原则构建安全框架；以防护为核心，基于静态特征的攻击检测

二、传统安全产品的形态：再internet网络和服务器之间串联一大堆安全产品

三、 下一代防火墙解决方案

1、安全的基础是风险全面可视化：风险定位、数据有限分析、图形化展示

2、安全的目标是保障企业业务安全：事前预知、事中防御、事后检测与响应

3、未知威胁抵御-基于AI的杀毒引擎优势对比