防火墙的前世今生

防火墙：将内网区域与外部不安全网络区域隔离开来。
在遭受入侵时，做内外网隔离的策略叫做防火墙。
早期使用PAT+ACL实现防火墙功能。但不够牢固，在修改源IP并在转换表存在时访问特定端口即可穿透。
发展阶段1（包过滤）~-1989年： //静态包过滤技术
1.Established ACL利用TCP的flag字段。只接受ACK和RST包
2.封掉低端口，放开高端口
3.自反ACL
因为这些策略基于包过滤，逐包匹配原则。所以对路由器性能占用较高，影响网络性能，且无法阻止欺骗式攻击，容易收到拒绝服务攻击.
发展阶段2（代理服务器）：
所有流量都需要访问代理服务器（堡垒机），不能直接访问到内网。直接保护了内网，由代理服务器访问内网服务器。主要通过SOCKS协议实现代理。
缺点：效率低下，较之包过滤更慢。
发展阶段3（状态防火墙）： //动态包过滤技术
对流量以流的方式对待，检测流的第一个包生成状态，存储在会话表，之后根据会话表做过滤。
TCP状态检测：

过程:1)流的第一个包进入防火墙，防火墙先去匹配规则 ，如果规则允许则到第二步，如果规则不允许，则直接丢弃。（路由，nat，策略规则）
2）为流建立会话表，后续所有流的包都直接匹配会话表进行转发。

超时机制：
1）握手阶段超时时间一般60s，防止TCP半开攻击。可以缓解DOS攻击。
DOS攻击的防御：建立一个Cookie表记录与他握手的源地址。在Cookie表中有的源IP在未对前N(可调整）次tcp做出回应的情况下再次TCP连接时，不处理此次连接。不会回复ACK，不把握手放在two-way timeout表。对于DDOS无效。
防火墙技术可以设置会话表连接次数，也可以防止DOS攻击。
2）握手成功一般会话表的超时时间为60min。
FTP的问题：
FTP客户端访问服务器的21号端口，服务器使用随机端口主动向客户端发送流量。
解决方案：端口检测机制：检查21号端口的传输的数据部分（应用层）查看传输的协商端口，然后防火墙开放此端口。
这种技术会使得防火墙性能下降。
UDP的问题：
没有flag字段，所以检查的元素会变少。防御效果会减弱。而且是无连接的，只能通过源目IP，端口去判断。
解决方案：防火墙会创建虚链接会话。
ICMP问题：
没有端口，防御能力继续下降。一般防火墙会默认静止ICMP回包。
针对应用层的攻击：
会话表无法查看应用层的内容，无法防止基于应用的攻击。

深度包检测技术、深度流检测技术 入侵检测IDS
IPS 入侵防御。 应用IDS做出反应的独立设备。
网络边界设备过多：1.路由器2.防火墙3.IPS4.应用代理（管理流量、上网行为）5.WAF（专用WEB防火墙）、防毒墙、漏洞检测、负载均衡设备
UTM:多功能防火墙
将不同的防火墙设备集成堆叠于一个设备。在流量进入后依次通过每个防火墙模块。

缺点：只是物理集成，在流量的处理上还是依次通过。而且因为物理集成，同一家厂商的限制下，性能未必有多防火墙串起来的机构性能高。
下一代防火墙NGAF
下一代防火墙采用分离式引擎，一次性并行扫描处理.
下一代防火墙主要优点在于用户可视、应用可视和双向防护。
下一代防火墙在UTM的基础上，实现了并行处理数据，并增加了可视化功能，同时实现了双向防护。充分的解决了之前的安全设备主要对外不对内的问题。
沙盒技术：在发现可疑应用后，在沙盒程序的保护下，继续运行可疑应用，一旦发现病毒属性，沙盒就执行回滚机制。将病毒的痕迹和动作抹去。恢复系统到正常状态。