防火墙相关知识学习总结

一、OECD组织定义的安全网络体系遵循的CIA基本理念：

CIA条                          目	威胁种类	对策使用的技术	对策实施的装置	说明
机密性（Confidentiality）	窃听、非法访问、窃取等	用户认证、加密	防火墙、VPN、IDS/IPS	信息的机密性是指只允许合法用户访问相关信息。确保信息的机密性即保证信息不被泄露，设立防止非法访问等保护对策。
完整性(Integrity)	篡改、冒充等	数据认证、电子签名、加密	防火墙、VPN、IDS/IPS	处理正确信息，保证信息的完整和确切，防止信息被篡改。
可用性(Availability)	Dos攻击、DDos攻击	过滤、冗余、策略	防火墙、带宽控制装置等	确保合法用户能够访问授权的信息。需要重视服务器和网络硬件的运维，避免系统出现down 机问题。

二、近几年防火墙发展：

 1.  UTM（Unified Threat Management，统一威胁管理） ：将IDP（Deep Inspection,深度检测）/IPS、反病毒、反垃圾邮件（anti-spam）、URL过滤等功能集成在一起的防火墙设备产品。

 2.  NGFW（Next Generation Firewall）,即下一代防火墙：该防火墙不再基于端口而是基于应用程序来执行相关的安全策略。而且同样配备类似UTM的基于内容安全的功能，协同活动目录（Active Directory）或Web认证等完成用户识别，从而执行并非基于IP地址，而是基于用户名、群组名的安全策略。（不仅根据端口号或协议号识别应用程序，也不仅根据IP地址识别用户信息，而是根据上述所有信息执行安全策略来进行防御）

三、IDS/IPS介绍：

IDS负责检测非法入侵并告知系统管理员；IPS则通过设置对非法入侵所使用的协议以及应用程序进行拦截。二者还能够对路由器访问控制列表和防火墙无法防范的伪装性正常访问予以阻止。

IDS/IPS能够检测出一下威胁：

• Dos攻击
• DDos攻击
• P2P造成信息泄露
• 运行蠕虫、特洛伊木马、键盘记录器等恶意软件
• 入侵Intrane t(内联网)与入侵侦查行为

另外，当IDS/IPS检测到入侵行为后，会做如下处理：

• 通知管理员（通过电子邮件或SNMP等方式）
• 记录日志
• 拦截通信（向攻击方发送TCP RST 消息）

四、Deep Inspection

五、IDS/IPS/IDP 可以能够检测到OWASP Top 10 攻击。