防火墙的定义
什么是防火墙?
墙,始于防,忠于守。从古至今,墙予人以安全之意。
防火墙分类
| 防火墙分类 | |||
| 按物理特性划分 | 按性能划分 | 按防火墙结构划分 | 按防火墙技术划分 |
| 软件防火墙 | 百兆级防火墙 | 单一主机防火墙 | 包过滤防火墙 |
| 硬件防火墙 | 千兆级防火墙 | 路由集成防火墙 | 应用代理防火墙 |
| ...... | 分布式防火墙 | 状态监测防火墙 | |
| ...... | ...... | ||
防火墙的功能
- 访问控制
- 地址转换
- 网络环境支持
- 带宽管理功能
- 入侵检测和攻击防御
- 用户认证
- 高可用性
防火墙安全策略
定义:
- 安全策略是按一定规则,控制设备对流量转发以及对流量进行内容安全一体化检测的策略。
- 规则的本质是包过滤。
主要应用:
- 对跨防火墙的网络互访进行控制
- 对设备本身的访问进行控制
防火墙安全策略的原理
防火墙安全策略作用:
根据定义的规则对经过防火墙的流量进行过滤筛选,再进行下一步操作。
安全策略分类
- 域间安全策略
- 域内安全策略
- 接口包过滤
防火墙发展历程
传统防火墙(包过滤防火墙)——一个严格的规则表
判断信息:数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)
工作范围:网络层、传输层(3-4层)
和路由器的区别:
普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径。
防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否”。
技术应用:包过滤技术
优势:对于小型站点容易实现,处理速度快,价格便宜
劣势:规则表很快会变得庞大复杂难运维,只能基于五元组
| 匹配规则: ①有允许规则:是; ②有拒绝规则:否; ③无相关规则:否; |
传统防火墙(应用代理防火墙)——每个应用添加代理
判断信息:所有应用层的信息包
工作范围:应用层(7层)
和包过滤防火墙的区别:
包过滤防火墙工作基于3-4层,通过检验报头进行规则表匹配。
应用代理防火墙工作7层,检查所有的应用层信息包,每个应用需要添加对应的代理服务。
技术应用:应用代理技术
优势:检查了应用层的数据
劣势:检测效率低,配置运维难度极高,可伸缩性差
传统防火墙(状态检测防火墙)——首次检查建立会话表
判断信息:IP地址、端口号、TCP标记
工作范围:数据链路层、网络层、传输层(2-4层)
和包过滤防火墙的区别:
包过滤防火墙工作基于3-4层,通过检验报头进行规则表匹配。 是包过滤防火墙的升级版,一次检查建立会话表,后期直接按会话表放行。
技术应用:状态检测技术
优势:主要检查3-4层能够保证效率,对TCP防御较好
劣势:应用层控制较弱,不检查数据区
入侵检测系统(IDS)——网络摄像头
部署方式:旁路部署,可多点部署
工作范围:2-7层
工作特点:根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头
目的:传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。
分析方式:
1、基于规则入侵检测;
2、基于异常情况检测;
3、统计模型分析呈现;
入侵防御系统(IPS)——抵御2-7层已知威胁
部署方式:串联部署
工作范围:2-7层
工作特点:根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通
目的:IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御
防病毒网关(AV)——基于网络侧识别病毒文件
判断信息:数据包
工作范围:2-7层
目的:防止病毒文件通过外网络进入到内网环境
和防火墙的区别:
| 防病毒网关 | 防火墙 |
| 专注病毒过滤 | 专注访问控制 |
| 阻断病毒传输 | 控制非法授权访问 |
| 工作协议层:ISO 2-7层 | 工作协议层:ISO 2-4层 |
| 识别数据包IP并还原传输文件 | 识别数据包IP |
| 运用病毒分析技术处理病毒体 | 对比规则控制访问方向 |
| 具有防火墙访问控制功能模块 | 不具有病毒过滤功能 |
| 传统的病毒检测方法 | |
| MD5 | 完全匹配二进制序列 |
| 病毒特征码 | 特征码部分匹配二进制序列 |
| 规则匹配 | 正则表达式,当A出现时且B和C只有一个出现 |
| 沙箱 | 虚拟执行,开销大,潜伏期长 |
| 字节信息 原始底层特征 人为定义 | |
Web应用防火墙(WAF)——专门用来保护web应用
判断信息:http协议数据的request和response
工作范围:应用层(7层)
目的:防止基于应用层的攻击影响Web应用系统
主要技术原理:
①代理服务:会话双向代理,用户与服务器不产生直接链接,对于DDOS攻击可以抑制
②特征识别:通过正则表达式的特征库进行特征识别
③算法识别:针对攻击方式进行模式化识别,如SQL注入、DDOS、XSS等
统一威胁管理(UTM)——多合一安全网关
包含功能:FW、IDS、IPS、AV
工作范围:2-7层(但是不具备web应用防护能力)
目的:将多种安全问题通过一台设备解决
优点:功能多合一有效降低了硬件成本、人力成本、时间成本
缺点:模块串联检测效率低,性能消耗大
下一代防火墙(NGFW)——升级版的UTM
包含功能:FW、IDS、IPS、AV、WAF
工作范围:2-7层
和UTM的区别:
与UTM相比增加的web应用防护功能;
UTM是串行处理机制,NGFW是并行处理机制;
NGFW的性能更强,管理更高效
防火墙的性能指标
性能指标1——吞吐量
吞吐量:防火墙能同时处理的最大数据量
有效吞吐量:除掉TCP因为丢包和超时重发的数据, 实际的每秒传输有效速率
衡量标准:吞吐量越大,性能越高
性能指标2——时延
定义:数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标
用于测量防火墙处理数据的速度理想的情况,测试的是其存储转发(Store and
Forward)的性能。
衡量标准:延时越小,性能越高
性能指标3——丢包率
定义:在连续负载的情况下,防火墙由于资源不足,应转发但是未转发的百分比。
衡量标准:丢包率越小,防火墙的性能越高
性能指标4——背靠背
衡量标准:背靠背主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。
性能指标5——并发连接数
定义:由于防火墙是针对连接进行处理的,并发连接数目是指防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
衡量指标:并发连接数指标越大,抗攻击能力也越强。