防火墙笔记

1. 什么是防火墙
   在计算机网络中是指设置在可信任的内部网络和不可信任的外部网络之间的屏障，通过强化边界控制保障内容安全，同时不妨碍内部对外部的访问。

20世纪80年代，最早的防火墙几乎与路由器同时出现，第一代防火墙主要基于包过滤（Packet filter）技术，是依附于路由器的包过滤功能实现的防火墙；随着网络安全重要性和性能要求的提高，防火墙渐渐发展为一个独立结构的、有专门功能的设备。

1989年，贝尔实验室最早推出了第二代防火墙，即电路层防火墙。

20世纪90年代初，开始推出第三代防火墙，即应用层防火墙（或者叫做代理防火墙）。

1992年，USC信息科学院开发出了基于动态包过滤（Dynamic packet filter）技术的，后来演变为目前所说的状态监视（Stateful inspection）技术。基于此技术，1994年，市面上出现了第四代防火墙，

1998年，NAI公司推出了一种自适应代理（Adaptive proxy）技术，并在其产品Gauntlet Firewall for NT中得以实现，给代理类型的防火墙赋予了全新的意义，可以称之为第五代防火墙。

2. 防火墙的作用
   强化网络安全策略：具有不同信任的互连网络
   防止网络故障蔓延
   对网络访问进行监控审核和报警
   提供流量控制（带宽管理）和计费
   利用IPSec实现VPN
   实现MAC与IP地址的绑定
3. 防火墙的局限性
   防火墙存在被绕过的可能
   无法抵御内部威胁
   不能防止对开放端口（服务）的攻击
   防火墙可以阻断攻击，但无法消除攻击源
   防火墙自身也可能会受到攻击
4. 防火墙的种类
   4.1 技术原理区分
   4.1.1 包过滤型防火墙
   最简单最快的防火墙，也是任何防火墙系统的基础。它可以检查的每个IP数据包，按过滤规则 允许或拒绝。

能够查看的信息包括：

源IP，目的IP
TCP/UDP 端口号
承载协议
即网络层和传输层的数据报文。

可能受到的攻击：

​ IP地址欺骗：信任一个假地址

4.1.2 代理防火墙
整个网络环境中，充当一个代理的角色。

工作过程：

用户的请求发送给代理防火墙。
代理防火墙验证请求为合法后，向网络应用服务器发送请求。
网络应用服务器处理后，将响应信息返回给代理防火墙，再发送给用户。
4.1.3 状态检测防火墙
状态检测型防火墙扩展了包过滤防火墙，跟踪每个TCP连接的状态，将属于同一个连接的所有包作为一个整体的数据流看待。

即 隶属于同一个会话的数据包，会更快流过设备，而不是每次都匹配过滤规则。

相比较包过滤防火墙，降低传输时间，提高处理效率。

4.1.4 地址转换防火墙
附有网络地址转换（NAT）功能的防火墙，或网络地址端口转换（NAPT）。

4.2 实现形态区分
4.2.1 软件防火墙
4.2.2 硬件防火墙
4.3 部署位置区分
4.3.1 边界防火墙
4.3.2 个人防火墙
4.3.3 混合防火墙
5. 防火墙的工作模式
三种工作模式：

5.1 路由模式
防火墙以第三层对外连接（接口具有IP地址）

5.2 透明模式
防火墙以第二层对外连接（接口无IP地址）

5.3 混合模式
防火墙既有 工作在路由模式的接口，也有工作在透明模式的接口。

6. 防火墙的部署
   根据使用场景，选择部署防火墙系统。例如，小型网络环境的路由设备或其他主机中，加入防火墙的功能，从而节省成本；大型网络系统中，有分布式防火墙和防火墙集群。

6.1 屏蔽路由器和屏蔽主机
屏蔽路由器：具有数据包过滤功能的路由器
屏蔽主机：具有数据包过滤功能的主机
二者都可以部署为简单的防火墙，通过配置完成防火墙的功能。

6.2 双穴主机或双宿主机
双穴主机：有两个网络接口的计算机系统，一个连接内网，一个连接外网。
6.3 堡垒主机
堡垒主机（Bastion Host）：网络上一种配置了安全防范措施的计算机。

6.4 屏蔽子网防火墙
屏蔽子网防火墙：在被保护网络和Internet之间设置了独立的子网作为防火墙。典型例DMZ。

DMZ一般是两台防火墙之间的区域，

7. 防火墙的性能指标
   7.1 指标量
   吞吐量：不丢包的情况下能够达到的最大速率。影响网络性能的重要指标之一。
   延时：防火墙设备处理数据包的速度，从接受bit流到输出bit流的时间段。影响网络性能的重要指标之一。
   丢包率：在连续负载的情况下，由于防火墙设备资源不足导致数据包丢失的百分比。影响稳定性可靠性。
   背靠背：体现防火墙对突发数据的处理能力。
   最大并发连接数
   最大并发连接建立速率
   最大策略数
   平均无故障间隔时间
   支持的最大用户数