防火墙/UTM/安全网关

写在最前：
安全产品系列目录：目录&总述

FireWall 防火墙

用于边界安全防护的权限控制和安全域的划分
防外不防内，隔离区域
配置策略，按需划分，最小授权原则

产品简介

    采用应用层安全防护理念，同时结合先进的多核高速数据包并发处理技术，研发而成的下一代边界安全产品。其核心理念是立足于用户网络边界，建立起以应用为核心的网络安全策略和以内网资产风险识别、云端安全管理为显著特征的全方位的安全防护体系。

产品特点

1. 全面的应用、用户识别能力
2. 细致的应用层控制
3. 应用层安全防护能力
   入侵防护、URL过滤、防病毒、内容过滤
4. 应用层安全处理性能
   基础网络数据包的高速转发，应用层安全处理的高性能
5. 内网资产风险管理
6. 云端安全管理模式
7. 高稳定性和可靠性
8. 支持路由、交换、访问控制、流量管理、SNAT/DNAT、日志报表等传统功能

用户价值

1. 对应用、业务和用户完全识别并加以控制、可以帮助企业降低管理难度、减少运维成本
2. 事前的风险预知和事后的检测&响应能力，主动发现被保护的资产对象，以及被保护对象的风险状况
3. 帮助有关部门、机构和人员及时对网络安全风险信息进行监测评估

1.部署模式

路由模式

    当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。路由器两端是不同子网
    采用路由模式时，可以完成ACL 包过滤、ASPF 动态过滤、NAT 转换等功能。然而，路由模式需要对网络拓扑进行修改（内部网络用户需要更改网关、路由器需要更改路由配置等），这是一件相当费事的工作，因此在使用该模式时需权衡利弊。

透明模式

    如果防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到防火墙的存在。
    采用透明模式时，只需在网络中像放置网桥（bridge）一样插入该防火墙设备即可，无需修改任何已有的配置。与路由模式相同，IP 报文同样经过相关的过滤检查（但是IP 报文中的源或目的地址不会改变），内部网络用户依旧受到防火墙的保护。

旁路模式

    在其他设备上开一个镜像口接入，逻辑上类似透明模式，检查流量经过，但不能进行阻断
部署简单，不改变现有结构，不影响速度，出现故障不会影响其他设备

旁路部署可以进行特殊流量配置，比如：三角传输
    三角传输,也叫Direct Server Return(DSR)模式，是旁路部署的一个特例这种模式下只有入站方向流量进入到设备，服务器返回的流量不经过设备。由于互联网的流量具有典型的非对称性，即请求方向上的流量比较小，绝大多数流量集中在服务器响应的方向上，若充分信任内部安全性，这种配置可以提升处理能力。

双机热备

    这种可能会用到混合模式：防火墙既存在工作在路由模式的接口（接口具有IP 地址），又存在工作在透明模式的接口（接口无IP 地址），则防火墙工作在混合模式下
主备模式
    主备模式下的两台防火墙，其中一台作为主设备，另一台作为备份设备。主设备处理所有业务，并将产生的会话信息传送到备份设备进行备份；备份设备不处理业务，只用做备份。当主设备故障，备份设备接替主设备处理业务，从而保证新发起的会话能正常建立，当前正在进行的会话也不会中断。
负载分担模式
    两台设备均为主设备，都处理业务流量，同时又作为另一台设备的备份设备，备份对端的会话信息（如下图所示，Firewall 1和Firewall 2均处理业务，互为备份）。当其中一台故障后，另一台设备负责处理全部业务，从而保证新发起的会话能正常建立，当前正在进行的会话也不会中断
一般部署

会话备份

因为有重传机制
所以在两台防火墙完全主备部署的情况下，即使不使用会话备份，在设备故障切换时只是会影响业务的切换时间，但不会完全导致业务不可用；对于新建连接，只是增加一次会话建立时间，对数据转发没有任何影响

当两台防火墙做负载分担，而且数据流量存在来回路径不一致的时候，防火墙必须开启会话备份功能。
因为开启了OSPF负载分担，以TCP数据流为例，假如Trust区域的某客户要去访问Untrust区域的资源，TCP数据流第一个SYN报文根据等价路由被转发到Firewall 1，但是对方回应的SYN-ACK报文被上面路由器转发到了Firewall 2,对于Firewall 2由于报文是从Untrust到Trust，策略是禁止的，而且设备本身又没有会话，所以这个报文就会被丢弃，TCP连接建立失败。尽管TCP超时后会再次发起连接，但是如果上下两台路由器等价路由的Hash方式不变，报文会一直按着上面所说的路径转发，所以TCP连接永远失败。

工作过程

路由工作模式
    防火墙工作在路由模式下，此时所有接口都配置IP 地址，各接口所在的安全区域是三层区域，不同三层区域相关的接口连接的外部用户属于不同的子网。当报文在三层区域的接口间进行转发时，根据报文的IP 地址来查找路由表，此时 防火墙表现为一个路由器。但是， 防火墙与路由器存在不同， 防火墙中IP 报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL 规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。路由模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。
透明工作模式
    防火墙工作在透明模式下，此时所有接口都不能配置IP 地址，接口所在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间进行转发时，需要根据报文的MAC 地址来寻找出接口，此时防火墙表现为一个透明网桥。但是，防火墙与网桥存在不同，防火墙中IP 报文还需要送到上层进行相关过滤等处理，通过检查会话表或ACL 规则以确定是否允许该报文通过。此外，还要完成其它防攻击检查。透明模式的防火墙支持ACL 规则检查、ASPF 状态过滤、防攻击检查、流量监控等功能。工作在透明模式下的 防火墙在数据链路层连接局域网（LAN），网络终端用户无需为连接网络而对设备进行特别配置，就像LAN Switch 进行网络连接。
混合工作模式
    防火墙工作在混合透明模式下，此时部分接口配置IP 地址，部分接口不能配置IP 地址。配置IP 地址的接口所在的安全区域是三层区域，接口上启动VRRP功能，用于双机热备份；而未配置IP 地址的接口所在的安全区域是二层区域，和二层区域相关接口连接的外部用户同属一个子网。当报文在二层区域的接口间
    进行转发时，转发过程与透明模式的工作过程完全相同。

UTM 统一威胁管理

Unified Threat Management
集成多种功能
若开启多项功能，可能性能不足，大多用于中低端公司

产品简介

    集合了防火墙、虚拟专用网（VPN）、入侵检测和防御（IPS）、网关防病毒、Web内容过滤、反垃圾邮件、流量整形、用户身份认证、审计以及BT（蓝牙）、IM（即时通讯）控制等多种应用

产品特点

    集成多种产品功能，方便配置，管理

用户价值

1. 便于部署，维护
2. 性价比高

1. 部署模式

与防火墙类似，但一般不用于区域划分（太贵），只在内外网之间放一个

生产厂商

防火墙/UTM/安全网关/下一代防火墙/第二代防火墙：
天融信、山石网科、启明星辰、网御星云、绿盟科技、安恒信息、蓝盾、华为、软云神州、杭州迪普、华清信安、东软、上讯信息、利谱、深信服、奇安信、卫士通、H3C、交大捷普、信安世纪、任子行、上海纽盾、金电网安、亚信安全、北京擎企、金山、君众甲匠、优炫、海峡信息、安信华、博智软件、中科曙光、中科网威、江民科技、六壬网安、安码科技、点点星光、瑞星、华域数安、中新网安、山东确信、有云信息、上元信安、成都世纪顶点、卫达安全、网御科技、锐捷、清华永新、华诺科技、六方云