防火墙知识总结

防火墙概述

防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内网是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。
防火墙的原理
防火墙是一个由软硬件组合而成、在内网和外网之间、专用网与公共网之间的界面上构造的保护屏障，它能使网络之间建立起一个安全网关，从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

防火墙的种类

防火墙分为：web应用防火墙、数据库防火墙、代码防火墙、工控防火墙。我们常见的主要是web应用防火墙，和数据库防火墙。
web应用防火墙的功能
WAF（web应用防火墙）可以有效识别Web业务流量的恶意特征，在对流量清洗和过滤后，将正常、安全的流量返回给服务器，避免网站服务器被恶意入侵导致性能异常等问题，从而保障网站的业务安全和数据安全。
数据库防火墙的功能

• 屏蔽直接访间数据库的通道，数据库防火墙部署介于数据库服务器和应用服务器之间，屏蔽直接访问的通道，防止数据库隐通道对数据库的攻击。
• 增强认证。应用程序对数据库的访问，必须经过数据库防火墙和数据库自身两层身份认证。
• 攻击检测。可实时检测用户对数据库进行的 SQL 注入和缓冲区溢出攻击，并报警或者阻止攻击行为，记录攻击操作发生的时间、来源 IP 、登录数据库的用户名、攻击代码等详细信息。
• 防止漏洞被利用，捕获和阻断数据库漏洞攻击行为。
• 防止内部高危操作，系统维护人员、外包人员、开发人员等具有直接访问数据库的权限，可能有意无意地进行高危操作对数据造成破坏。通过数据库防火墙可以限定更新和删除影响行、限定无 Where 的更新和删除操作、限定 drop truncate 等高危操作避免大规模损失。
• 防止敏感数据泄露，通过数据库防火墙可以限定数据查询和下载数晕、限定敏感数据访问的用户、地点和时间。
• 数据库安全审计。对数据库服务器的访问情况进行独立审计，审计信息可以包括用户名、程序名、 IP 地址、请求的数据库、连接建立的时间、连接断开的时间、通信量大小、执行结果等信息。

如何使用web应用防火墙

WAF放置方面主要有两种架构方案可以考虑：桥接模式（in-line）或分接/跨接模式（tap/span）。
桥接模式
这种架构又叫主动配置，WAF就直接放在请求方（如浏览器客户端）与Web应用服务器之间的流量路径当中。WAF在检查应用请求和响应之后再传送请求和响应。
分接/跨接模式
这种模式又叫"被动"模式，因为WAF被挡在流量路径外面，从分接端口或跨接端口监控流量。分接/跨接式WAF常常用于收集数据，以便之后用于调查或取证分析。这种架构模式的一个主要优点是，它并不干扰网络流量或吞吐量，因为它不是直接嵌入。

防火墙的部署又可分为单防火墙无DMZ、单防火墙DMZ和双防火墙
单防火墙DMZ
相对于单防火墙无DMZ内网的安全系数显著增高

单防火墙无DMZ
服务器和内网客户端没有分隔，使内网的安全性大大降低

双防火墙部署

WAF厂商介绍

WAF分为硬件和软件两部分，在硬件方面，绿盟科技、天融信蓝盾、北京千来信安、中新网安、软云神州较为出色，其中绿盟科技连续三年蝉联国内市场销量第一，在软件方面有福州深空、安恒信息、中云网安、铱迅信息、安全狗、云锁、青松云安全、上海天存、安码科技、安数云、瑞数信息、创旗技术、奇安信等企业，其中奇安信也就是我们所熟悉的360，是软件方面的龙头企业。