防火墙的基本概念(安全防护功能网络设备)
隔离设备,负责隔离网络,将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护
防火墙也可以配路由,属于三层以上设备,能够代替路由,和路由的根本区别是防火墙要做限制,防火墙的本质功能就是隔离,防火墙是默认所有都不能过,写完策略之后,少部分能通过,路由是默认所有人都能过,写完策略之后,一少部分人不能过。
泛洪攻击,运营商清洗流量
Dos拒绝服务攻击与DDOS分布式拒绝攻击
防火墙的基本功能(防火墙完全可以替代路由器)
-----------------------------------------
防火墙产品及厂家
防火墙产品:H3C U200(新华三)
新建连接数:同一时间,创建的会话数
启明星辰
深信服
国外:思科,F5
************区域隔离*************
防火墙区域概念:
内网访问外网全部通过(单向策略),因为防火墙默认(不写策略的时候),默认都不能通过。
先将区域进行隔离,然后再写策略
正规的策略:
从内网到外网全部放行
从内网到DMZ全部放行
从DMZ到外网全部放行
为什么设置DMZ区域?
凡是对外发布的服务器都建议放在DMZ区域,绝对禁止从DMZ到inside写策略,设置DMZ区域,如果DMZ区域沦陷的话,由于防火墙,DMZ到Inside是全部禁止的,因而能够保证核心业余的安全性。
对于思科而言:内网 DMZ 外网 分别称为高 中 低
高区域向低区域走是放行的,反之需要写策略
普通防火墙是第一道防线,可能是开通了外网到DMZ区域的一个策略,某个IP的80-端口可以被访问,但是想做进一步检查,想攻击web应用,第一道防火墙已经做不到了,因为已经写策略了,允许放行,没有能力基于五层检查,这个时候需要在这个服务器前面在放一个防火墙,也就是WEB应用防火墙(WAF)WAF的价格要比普通防火墙要贵,WAF一般放在内网,一般公司出口绝不会放WAF,这样做的好处:
公司的第一道防火墙先把大部分攻击干掉(因为开放策略的时候,只是一小部分流量进来了),例如你想攻击445端口,以小部分流量进来之后,其中存在一点点的带有攻击的流量,通过内网的防火墙(WAF)进行防护。
IPS(入侵防御系统)(根据特征库(病毒库)直接干掉进来之后的流量,将病毒什么的编成特征码,将特征码更新至数据库,只要进来的流量满足特征库,直接干掉)
IPS是牺牲性能来换取安全
**************************************************************************
IPS很贵,一般小公司部署IDS(入侵检测系统),一般IDS是旁路分析,你该怎么通过怎么通过,我只是把所有的流量做了个备份,交给IDS慢慢分析,IDS最后生成一个报告。IDS只是给出预警,并不能进行防御
IPS 和IDS主要是做五层的防御,三层四层交给防火墙做第一道防御,里面可以配IPS,IDS或者WAF
如果内网员工访问了非法或者带有病毒的网站,会有回包,但是防火墙认为判断为回包,并不会进行阻拦,这个时候有IPS就可以产生很好的防御效果。如上图所示,
IPS没有方向没有分区这么一说,只要通过就检测每个包是否有威胁。
***************************************************************************
防火墙的分类
应用代理防火墙(防火墙对外代理员工,对内代理服务器)
应用网关型防火墙,也叫应用代理防火墙
每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
优点:安全性高,检测内容
缺点:链接性能差,可伸缩性差
*********现在主流的防火墙-----状态检测防火墙*************
防火墙先做状态匹配,状态匹配永远是第一步,无论是进,还是出。
有状态就能回,没有状态就是通过策略,但是策略就没有写。
############################################################################
防火墙的工作模式(适用于所有安全设备):
防火墙的工作模式及部署类型