防火墙学习笔记之防火墙概述

防火墙学习笔记之防火墙概述

1.防火墙的主要作用

（1）逻辑区域过滤器，将网络区域分成两大部分，被防火墙保护的区域—信任区，另外一个区域为非信任区
（2）隐藏内网网络结构
（3）自身安全保障
（4）主动防御攻击

2.防火墙的分类

根据访问控制方式，可以分为包过滤防火墙，代理防火墙，状态监测防火墙，前两种已经被淘汰，
（1）包过滤防火墙
根据五元组（源目IP 源目端口号 协议），通过在防火墙上配置acl对包进行过滤。
缺点：
（a）通过访问控制列表acl对包进行过滤（软件过滤），当acl条目数量增多，配置越来越复杂，设备性能下降。
（b）无法适应多通道协议，acl访问控制列表是一种静态的形式，对于FTP这种多通道协议（控制通道和数据通道，数据通道的端口号随机分配，不固定），无法配置acl
（b）通常不检查应用层数据，不能有效防范外部攻击。
（2）代理防火墙
代理防火墙工作在应用层，检查来自用户的请求，是否能够通过acl访问规则，如果允许访问，防火墙与内部服务器、外部客户端建立连接，转发请求。安全性较包过滤防火墙高，因为会检查应用数据的载荷。
缺点：
（a）通过软件形式完成对业务报文的处理，处理速度慢。
（b）对应用层数据包进行检测，需要针对每一种应用层协议开发相应的代理，开发和升级困难。
（3）状态检测防火墙
在状态检测防火墙中，对会话进行维护和检测，是对包过滤技术的扩展，是基于连接状态的包过滤。在网络层层面拦截数据包，解析报文头部，在应用层状态信息体现在防火墙上。连接状态信息体现在防火墙上就是会话表
优点：处理后续包速度快且安全性高

3.防火墙安全策略

传统包过滤技术是对需要转发的每一个数据包，先获取报头信息（五元组），然后和设定的规则进行比较，根据比较结果对数据包进行转发或丢弃，当数据流量较大时，会成为网络中数据转发的瓶颈。实现包过滤的技术核心是访问控制列表。当对数据报文与acl进行匹配时，需要上升到cpu进行处理，软件方式的处理速度慢，消耗cpu资源。状态监测机制是对包过滤技术的扩展，只对一个连接的首包进行包过滤检查，如果首包能够通过包过滤检查，并创建相应的会话，那么对后续的包不再进行过滤规则检查，而是根据会话表进行转发。目前，许多厂商的防火墙可以不止对五元组进行检测，还可以检查用户、应用、时间段等更多的属性。防火墙安全策略分类（以华为防火墙为例）分为域间策略（默认为deny），域内策略（默认为不检查域内包）和基于接口包过滤

4.防火墙转发原理

在状态检测机制中，对首包进行包过滤，非首包，则查找会话表。
待续。。。