防火墙简介

本文讲的是一些浅显的理论知识,在后续文章中会从原理与配置两方面入手深层次的聊一聊防火墙。

目录

华为防火墙

广义防火墙:

华为防火墙默认安全区域(四个)

阻止服务器主动访问办公网络的原因

防火墙的分类

无状态包过滤防火墙

状态检测防火墙

升级版的状态检测防火墙

下一代防火墙(NGFW)

下一代防火墙与UTM区别

代理服务器

防火墙的两种工作模式

(1)路由模式

(2)透明模式


防火墙的本质:连接两个或多个网络区域,并且基于策略限制区域间流量的设备。

最基本的功能:区域隔离和访问控制  (狭义的防火墙)

华为防火墙

默认情况:不同区域之间是不通的。想要谁同,就要做策略。

华为防火墙的安全策略默认情况下仅控制单播流量[比如OSPF、BGP、DHCP等],对组播和广播流量默认不做控制,直接放行。但是你可以通过命令让防火墙对组播流量也做控制。

特殊情况:抵达华为防火墙自身的Telnet、SSH、 HTTP、 HTTPS、 SNMP、 Netconf等管理类型的流量,不受华为防火墙安全策略的控制,受接口下命令[service-manage +协议+ permit/deny]的控制。

不需要考虑流量怎么返回

看有无会话表  看路由表  再看策略  再生成防火墙  返回的数据不在看策略(有会话表)

广义防火墙:

入侵防御系统IPS,反病毒AV,WAF,文件过滤,内容过滤,反垃圾邮件

入侵防御系统IPS:主要是抵御攻击的   如ddos   tcp泛洪攻击等

反病毒AV:检测病毒的  检测到下载文件有病毒  就可以阻断这个下载的流量

WAF:是用来专门保护网站的安全的

绝大多数核心防火墙是没有WAF的功能的,很多厂商有单独的WAF产品

华为(WAF5000)思科(无)

文件过滤:防止数据泄露

       如  很重要的文件都是pdf格式的  就可以在防火墙上做限制,任何pdf不允许往外传

       改后缀也没用(以前可以 现在都是根据文件特征码识别  改后缀就没用了)

内容过滤:针对内容做过滤

它可以读取你文件里面的内容,哪怕你是加密的(https)  防火墙是可以解密的

它可以对你的流量进行分析,防止里面有一些敏感的内容、恶意代码等

反垃圾邮件:阻止垃圾邮件

垃圾邮件指的是任何你不想收到的邮件

防火墙有这么多功能但是是不会全部开启的,这一些功能是非常消耗防火墙的性能的。

企业想要完成上面功能的时候,并不是靠防火墙一台设备去做,会有专门的设备去防护

如:IPS(华为、绿盟)  反病毒AV(卡帕斯基、瑞星)     

文件过滤、内容过滤(深信服)      反垃圾邮件(思科 有专门的 垃圾邮件防火墙)

华为防火墙默认安全区域(四个):

Local区域:防火墙本地

Trust区域:信任区                                (内网)

DMZ区域:非军事区,隔离区,缓存区 (服务器)

Untrust区域:非信任区                                (外网)

在华为防火墙上,一个接口只能加入到一个安全区域中。

阻止服务器主动访问办公网络的原因:

DMZ区域作用:防止攻击者一服务器为跳板攻击办公网络

如果,服务器和办公网络在同一网段,能主动访问办公网

那么病毒、恶意代码就会直接蔓延到办公网络

防火墙的分类

1.按照形态划分:1.硬件防火墙(实物)                          2.软件防火墙(内置到操作系统)

2.按照保护对象划分:1.网络防火墙(保护整个内网)       2.单机防火墙等(内置的)

3.按照应用功能划分:1.网页安全防火墙(思科WSA)(保护用户上网安全) 

       2.邮件安全防火墙(思科ESA)(邮件安全)                3.WAF:(保护网站安全)

4.按照访问控制方式(工作原理)分为(最主流):

无状态包过滤防火墙Stateless Packet Filtering

状态检测防火墙Stateful Packet Filtering

下一代防火墙(NGFW)Next Generation Firewall

代理服务器防火墙Proxy Server

前三种就是发展历程

无状态包过滤防火墙

不能称之为真正意义上的防火墙,更像路由器上的ACL列表

只能对静态流量作访问控制,而且配置复杂

特性:1. 依赖于静态的策略来允许和拒绝数据包

           2. 对静态的TCP应用和仅仅对三-四层流量的过滤

限制:1. 不能支持动态应用

           2. 实施需要专业的知识

           3. 不能抵御应用层攻击

解释实施需要专业的知识:

如收发邮件需要用到两个协议:

SMTP:简单邮件传输协议(25)发送邮件

POP3:收邮件(110)

收发邮件端口不一样:如果要对邮件流量做访问控制,又不懂邮件的工作原理,就无法进行下去

解释不能低于应用层攻击:

工作再三四层:看不到七层

状态检测防火墙

无需考虑回来方向的流量

真正的防火墙出现了,相比于上一代,多了一个状态检测的功能

数据包出去:策略通过:记录下来(状态表)(记录 源目IP,协议,端口等等)

回包:对比状态表:发现是刚刚出去的:不检测:直接放行

特性:1. 可靠的三到四层的访问控制

           2. 配置简单(只需考虑出方向)

           3. 透明并且高性能

限制:1. 不能洞察5-7层内容

           2. 如果应用层流量被加密,也无法支持动态应用

解释高透明:客户感知不到防火墙的存在

解释高性能:根升级版的状态检测防火墙做对比的

升级版的状态检测防火墙

(能对应用层进行控制)

统一威胁管理(UTM,Unified Threat Management )(2000-2015年提的较多)

防火墙内置的安全功能(模块) UTM (统一威胁管理)

如:IPS、AV、AC、URL过滤、反垃圾邮件等等

特性:1. 可靠的三到七层的访问控制(可识别应用层的内容了)

           2. 集成各种安全模块(AC/AV/IPS等)

           3. 透明和中等性能(功能多了些 需要更好的性功能 性能降低了)

限制:1. 应用层监控和控制影响性能

           2. 为了深度的内容分析需要设备有很强的缓存能力

下一代防火墙(NGFW)

集成了IPS、AV、VPN、Ddos防护等安全功能

这种集成不是功能模块和弓|擎的堆砌,而是一种深度的集成,将各种安全功能融入一个独立的架构中。

特点:1. 用户识别、应用识别、内容扫描、威胁防护

           2. 单一策略(外在)、一次解包、全面检查(内在)

       做配置的时候各个模块一块做。(上一代  一个一个模块单独配置)

下一代防火墙与UTM区别:

NGFW不是像UTM那样简单的扩展功能模块

NGFW各安全模块也不像UTM那样各个模块独立工作

而是各安全模块间可开展有机联动,各模块产生的信息可实现全维度关联

使NGFW具备强大的模块间安全协同能力和威胁情报聚合能力。

UTM功能集合更像是简单的1 +1 =2甚至是1+1<2 ,而NGFW则是1+1>2

代理服务器

是一种模型

特性:1. 可靠的三到七层的访问控制

        2. 自动的对协议进行规范化处理

        3. 能够采用宽容或者限制的访问控制技术(代理服务器挂了 出还是不出)

限制:1. 不能广泛的支持所有的应用(但基本上支持)

        2. 不适合对实时流量(超低延时)采取这种技术(股票等对流量要求高的不能用(需要抄低延迟))

        3. 不透明(人为指定代理服务器)

防火墙的两种工作模式

华为防火墙具有两种工作模式:路由模式、透明模式

(1)路由模式

如果华为防火墙连接网络的接口配置IP地址,则认为防火墙工作在路由模式下。

当华为防火墙位于内部网络与外部网络之间

需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别布配置成不同网段的IP地址,

所以需要重新规划原有的网络拓补,此时防火墙首先是一台路由器,

然后提供其他防火墙功能。路由模式需要对网络拓补进行修改,比较麻烦!

(2)透明模式

如果华为防火墙通过第二层对外连接(接口无IP地址),则防火墙工作在透明模式下。

如果华为防火墙采用透明模式进行工作,只需在网络中像连接交换机一样连接华为防火墙即

可,其最大的优点是无需修改任何已有的IP配置;

此时防火墙就像一个交换机一样工作,内部网络和外部网络必须处于同一个子网。

此模式下,报文在防火墙当中不仅进行二层的交换,还会对报文进行高层分析处理。

本文有自己整理而成,如有不当之处,欢迎大佬指正。

你可能感兴趣的:(通讯安全,web安全,安全,tcp/ip)