防火墙分类
按物理特性划分:软件防火墙、硬件防火墙
按性能划分:百兆级防护墙、千兆级防火墙
按结构划分:单一主机防火墙、路由集成防火墙、分布式防火墙
按防火墙技术划分:包过滤防火墙、应用代理防火墙、状态监测防火墙
防火墙的功能
1、 访问控制(防火墙是一种高级的访问控制设备)
2、 地址转换(部署在内外网之间,会涉及到地址转换的问题)
3、 网络环境支持(2层或3层之间的内部之间,DHCP环境、动态路由环境、VLAN环境、 ADSL拨号环境、SNMP网络管理环境)
4、 带宽管理功能(可以根据业务进行不同的流量分配,以保证重要业务的应用)
5、 入侵检测和攻击防御
6、 用户认证(多种用户认证方式)
7、 高可用性(双击、多机/冷备、热备)
防火墙安全策略
- 定义:安全策略是按一定规则,控制设备对流量转发以及对流量进行内容安全一体化检测的策略,规则的本质是包过滤。
- 主要应用:
1、 对跨防火墙的网络互访进行控制
2、 对设备本身的访问进行控制
防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击,但是同时还必须允许两个网络之间可以进行合法的通信。安全策略的作用就是对通过防火墙的数据流进行检测,符合安全策略的合法数据流才能通过防火墙。
通过防火墙安全策略可以控制内网访问外网的权限,控制内网不同安全级别的子网间的访问权限等。同时也能够对设备本身的访问进行控制,例如限制哪些IP地址可以通过Telnet和Web等方式登陆设备,控制网管服务器、NTP服务器等与设备的互访等。
防火墙安全策略的原理
防火墙安全策略定义数据流在防火墙上的处理规则,防火墙根据规则对数据流进行处理。因此,防火墙安全策略的核心作用是:根据定义的规则对经过防火墙的流量进行筛选,由关键字确定筛选出的流量如何进行下一步操作。
在防火墙应用中,防火墙安全策略是对经过防火墙的数据流进行网络安全访问的基本手段,决定了后续的应用数据流是否被处理。NGFW会对收到的流量进行检测,检测出流量的属性:源安全区域,目的安全区域,源地址(地区),目的地址(地区),用户、服务(源端口、目的端口、协议类型)、应用和时间段。
安全策略分类
- 域间安全策略
用于控制域间流量的转发(此时称为转发策略),适用于接口加入不同安全区域的场景。域间安全策略按IP地址、时间段和服务(端口或协议类型)、用户等多种方式匹配流量,并对符合条件的流量进行包过滤控制(permit/deny)或高级的UTM应用层检测。域间安全策略也用于控制外界与设备本身的互访(此时称为本地策略),按IP地址、时间段和服务(端口或协议类型)等多种方式匹配流量,并对符合条件的流量进行包过滤控制(permit/deny),允许或拒绝与设备本身的互访。 - 域内安全策略
缺省情况下域内数据流动不受限制,如果需要进行安全检查可以应用域内安全策略。与域间安全策略一样可以按IP地址、时间段和服务(端口或协议类型)、用户等多种方式匹配流量,然后对流量进行安全检查。例如:市场部和财务部都属于内网所在的安全区域Trust,可以正常互访。但是财务部是企业重要数据所在的部门,需要防止内部员工对服务器、PC等的恶意攻击。所以在域内应用安全策略进行IPS检测,阻断恶意员工的非法访问。 - 接口包过滤
当接口未加入安全区域的情况下,通过接口包过滤控制接口接收和发送的IP报文,可以按IP地址、时间段和服务(端口或协议类型)等多种方式匹配流量并执行相应动作(permit/deny)。基于MAC地址的包过滤用来控制接口可以接收哪些以太网帧,可以按MAC地址、帧的协议类型和帧的优先级匹配流量并执行相应动作(permit/deny)。硬件包过滤是在特定的二层硬件接口卡上实现的,用来控制接口卡上的接口可以接收哪些流量。硬件包过滤直接通过硬件实现,所以过滤速度更快。
防火墙发展历程
- 传统防火墙(包过滤防火墙)
判断信息:数据包五元组(源目IP地址,源目端口、协议)
工作范围:网络层、传输层
技术应用:包过滤技术 - 传统防火墙(应用代理防火墙)
判断信息:所有应用层的信息包
工作范围:应用层
技术应用:应用代理技术 - 传统防火墙(状态检测防火墙)
判断信息:IP地址、端口号、TCP标记
工作范围:数据链路层、网络层、传输层 - 入侵检测系统IDS
部署方式:旁路部署,可多点部署
工作范围:2-7层
工作特点:根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头
目的:传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。 - 入侵防御系统IPS
部署方式:串联部署
工作范围:2-7层
工作特点:根据已知的安全威胁生成对应的过滤器(规则),对识别的流量进行阻断,对未识别的放通
目的:IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御 - 防病毒网关AV
判断信息:数据包
工作范围:2-7层
目的:防止病毒文件通过外网进入到内网环境
和防火墙的区别:
![在这里插入图片描述]()
- Web应用防火墙(WAF)
判断信息:http协议数据的request和response
工作范围:应用层
目的:防止基于应用层的攻击影响Web应用系统
主要技术原理:
① 代理服务:会话双向代理,用户与服务器不产生直接连接,对于DDOS攻击可以抑制
② 特征识别:通过正则表达式的特征库进行特征识别
③ 算法识别:针对攻击方式进行模式化识别,如SQL注入、DDOS、XSS等 - 统一威胁管理(UTM)
包含功能:FW、IDS、IPS、AV
工作范围:2-7层(不具备Web应用防护)
目的:将多种安全问题通过一台设备解决
缺点:模块串联检测效率低,性能消耗大,多次拆包、多次检测 - 下一代防火墙(NGFW)
包含功能:FW、IDS、IPS、AV、WAF
工作范围:2-7层
和UTM的区别:
① 与UTM相比增加了Web应用防护功能
② UTM是串行处理机制,NGFW是并行处理机制
③ NGFW的性能更强,管理更有效
防火墙的性能指标
- 吞吐量:防火墙能同时处理的最大数据量
有效吞吐量:除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率 - 时延:数据包进到防火墙~出防火墙的时间间隔
用于测量防火墙处理数据的速度理想的情况,测试的是其存储转发性能 - 丢包率:在连续负载的情况下,防火墙由于资源不足,应转发但未转发的百分比
- 背靠背:防火墙缓冲容量的大小
指防火墙应对突发大流量数据时的缓冲处理能力 - 并发连接数:防火墙可以同时建立的最大连接数目,一个连接就是一个TCP/UDP的访问
下一代防火墙的部署模式
路由模式、透明模式、虚拟网线模式、混合模式、旁路模式
防火墙的接口
根据接口不同工作层面,可以划分为:二层区域、三层区域、虚拟网线区域
AF的部署模式是由各个接口的属性决定的
物理接口
物理接口与AF设备面板上的接口一一对应(eth0为manage口)。根据网口数据转发特性的不同,可选择路由、透明、虚拟网线和旁路镜像4种类型,前3种接口又可设置WAN和非WAN属性
- 路由接口
如果设置为路由接口,则需要给该接口配置IP地址,且该接口具有路由转发功能 - 透明接口
透明接口相当于普通的交换网口,不需要配置IP地址,不支持路由转发,根据MAC地址表转发数据 - 虚拟网线接口
虚拟网线接口也是普通的交换接口,不能配置IP地址,不支持路由转发,转发数据时,也无需检查MAC表,直接从虚拟网线配对的接口转发。
虚拟网线接口的转发性能高于透明接口,单进单出、双进双出等成对出现的环境下,推荐使用虚拟网线接口部署。 - 旁路镜像接口
旁路镜像接口不能配置IP地址,也不支持数据转发,只是用来接口从外部镜像过来的镜像数据。
镜像接口可以配置多个,根据现场实际业务场景需要接收的数据情况进行选择。
- 聚合接口
将多个以太网接口捆绑在一起所形成的逻辑接口,创建的聚合接口成为一个逻辑接口,而不是底层的物理接口。
子接口
子接口应用于路由接口需要启用VLAN或Trunk的场景
子接口是逻辑接口,只能在路由口下添加子接口
VLAN接口
为VLAN定义IP地址,则会产生VLAN接口。
VLAN接口也是逻辑接口
接口设置注意事项
1、设备支持配置多个WAN属性的路由接口连接多条外网线路,但是需要开通多条线路的授权
2、管理口不支持设置成透明接口或虚拟网线接口,如果要设置2对或2对以上的虚拟网线接口,则必须要求设备不少于5个物理接口,预留一个专门的管理口Eth0
3、一个路由接口下可添加多个子接口,路由接口的IP地址不能与子接口的IP地址在同网段