安全防御设备---防火墙1

1. 什么是防火墙？

防火墙是一种隔离（非授权用户在区域间）并过滤（对受保护的网络有害的流量或数据包）的设备。

作用：阻止、隔离威胁的蔓延、依据规则放行流量，放行同时对流量进行检查。

防火墙的区域：内网、外网、服务器区：非军事管理区（DMZ）

2. 状态防火墙工作原理？

3. 防火墙如何处理双通道协议？

使用ASPF技术，查看协商端口号并动态建立server-map表放过协商通道的数据。

ASPF（Application Specific Packet Filter，针对应用层的包过滤）也叫基于状态的报文过滤，ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后，FW通过检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据 通道的报文，相当于自动创建了一条精细的“安全策略”。

 

4. 防火墙如何处理NAT？

• 首先防火墙接受到报文，将报文跟NAT生成的目的server-map表进行匹配，若匹配则根据表转换目的地址，若不匹配则进入下一步
• 将报文和基于ACL的目的NAT进行匹配，若匹配则转换目的地址，若不匹配则进入下一步
• 将报文与NAT策略中的目的NAT进行匹配，若匹配则转换目的地址，若不匹配则进入下一步
• 根据报文的信息查找当前路由，若路由存在就匹配安全策略，若报文不存在则丢弃报文
• 匹配安全策略的报文是否可以允许，若允许查看该报文是否匹配NAT策略，若禁止该报文则丢弃
• 通过安全策略的报文若匹配NAT策略，在查看该报文是否匹配双向NAT，若也匹配则转换源地址，若不匹配双向NAT则创建会话
• 通过安全策略的报文若不匹配NAT策略，再查看是否是NAT策略的源NAT，若是则转换源地址，若部署则创建会话
• 最后发送报文

5. 你知道那些防火墙？以及防火墙的技术分类？

1）包过滤防火墙

使用的技术：ACL访问控制列表、三层技术

检查对象：五元组、TTL、某些特殊字段

好处：简单、速度快

缺点：

• 可仿造IP（成本高）

• 检查的颗粒度很粗，并且只能向粗的方向管理

• 会影响内网用户进出外网的数据包传递

• 写的防御机制可能会相互冲突

包过滤防火墙+net（源地址转换，出去了才能回来）=绝配：放行流量、内网做私网（做了私网，就无法进出），net必须要出去了才能回来，如果内网的流量没有出去就回不了私网

颗粒度粗的原因：访问的信息太杂乱了

如何提高防御力度：将访问信息归单一、简单

2）代理防火墙

代理技术+包过滤：降低过滤的颗粒度的一种方法，区域之间通信使用固定设备（代理设备）

代理如何实现：

• socket：调用函数集（管道层），应用层将数据交到网卡

不同应用使用不同的代理技术，不能通用。代理技术只能针对具体的应用来实现

代理的缺点：技术复杂、速度慢

代理的优点：能防御应用层威胁、内容威胁

3）状态防火墙

使用的技术：会话追踪技术，三、四层

追踪数据包的状态，来源不明、状态不对的数据包不会浪费资源，防御SYN攻击等类型，可以利用哈希算法实现

在包过滤（ACL列表）的基础上增加了一个会话表，数据包需要查看会话表来实现匹配。

先看会话表再看ACL策略表

状态防火墙的实现机制：会话表将状态使用哈希算法形成定长值，这样只需要匹配一次，使用CAM芯片处理，速度快。速度相当于交换机的级别（没有中断机制，二元匹配，一个周期就能处理一个匹配），这样既安全又快速

PS：哈希算法：一个数值通过哈希算法计算后生成一个定长的唯一值，该值不可逆，生成的值可作为该数值的ID，变成一个key值。检查状态数值时只需要检查哈希值，需要匹配一次就可以了

PS：路由器使用的TCAM芯片（匹配、不匹配、不关注）、交换机使用CAM芯片（匹配、不匹配）

首包检查：首包先看ACL表，通过后形成会话表

后面的包检查：直接看会话表，会话表没有时再查看ACL表

4）UTM

使用技术：深度包检查技术、应用层

AV--防毒墙

WAF--web应用防护墙

IPS--入侵防护墙

AC--上网行为管理

糖葫芦现象的缺点：成本高、速度慢、易出现故障、难以管理、学习成本高

UTM就将上面的功能集中到一个设备上，UTM更集中于应用包的检查

PS：UTM相当于将应用网关和IPS等设备在状态防火墙的基础上进行整合和统一。

优点：

• 把原来分散的设备进行统一管理、有利于节约资金和学校成本

• 统一有利于各设备之间协作

缺点：

• 流量大时会影响性能

• 设备负荷较大，且检查逐个功能模块进行，速度慢

5）下一代防火墙

2008由Palo Alto Networks公司发布的下一代防火墙。

Gartner把NGFW看做不同信任级别的网络之间的一个线速(wire-speed)实时防护设备，能够对流量执行深度检测，并阻断攻击。

NGFW必须具备以下能力:

• 传统防火墙的功能

• IPS与防火墙的深度集成

• 应用感知与全栈可视化

• 利用防火墙以外的信息，增强管控能力

PS：下一代防火墙一般采用并行处理、UTM采用串行处理