目录
▪DPI防火墙(Deep Packet Inspection)
防火墙
防火墙的基本概念
防火墙的定义:是一款具备安全防护功能网络设备:
❖
隔离网络:
▪
将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护
防火墙可以完全替代路由器、交换机的(防火墙的本职工作不是为了路由,而是为了隔离网络)
防火墙把ip和路由配好后也不能全网互通(默认所有人都不能通过防火墙,完全隔离),路由器把ip和路由配置好后就可以全网互通
防火墙的本职工作并不是杀病毒、杀木马,而是在三层和四层设备上隔离网络、放行流量
防火墙的基本功能
防火墙基本功能:
❖
访问控制 (策略)
❖
攻击防护
❖
冗余设计
❖
路由、交换
❖
日志记录
❖
虚拟专网VPN
❖
NAT
防火墙产品及厂家
检测DOS攻击(deny of service拒绝服务攻击),DDOS(distribute ~ 分布式拒绝访问攻击)【把服务占满了】
区域隔离
防火墙区域概念:
▪ 内部区域 (inside或者trust信任区)
▪ DMZ区域:称为“隔离区”,也称“非军事化区/停火区” (内网服务器)
▪ 外部区域 (outside或者untrust非信任区域)
这三个区域要想互相访问必须要经过防火墙,而防火墙默认不允许任何流量通过,可以通过写策略来放行一部分流量
这三个区域要想互相访问必须要经过防火墙,而防火墙默认不允许任何流量通过,可以通过写策略来放行一部分流量
防火墙一般写单向策略(和路由器不同),防火墙可以做到单项访问
一般是内网到外网全部放行,从内网到dmz全部放行,从dmz到外网全部放行
思科Csico一般是把内部区域叫“高区域”,DMZ 区域叫“中区域”,外部区域叫“低区域”——》高区域向低区域走一律放行,低向高一律不放行
防火墙的分类
WAF防火墙一般不会部署在公司总出口,一般部署在web服务器的外围
IDS (入侵检测系统)Intrusion Detection Systems
IPS (入侵防御系统) Intrusion Prevention System
防火墙的发展历史
▪包过滤防火墙
最早的防火墙技术之一,功能简单,配置复杂 (已经被淘汰,包过滤---基于三层来过滤)
也叫分组过滤防火墙(
Packet Filtering
)。
根据分组包的源、目的地址,端口号及协议类型、标志位确定是否允许分组包通过。
所根据的信息来源于IP
、
ICMP
、
TCP
或
UDP
等协议的数据包头(
Packet Header)。
优点:
高效、透明
缺点:
对管理员要求高、处理信息能力有限
▪应用网关/应用代理防火墙
最早的防火墙技术之二,连接效率低,速度慢
也叫应用代理防火墙
每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的
应用必须添加针对此应用的服务程序,否则不能使用该服务。
优点:
安全性高,检测内容
缺点:
连接性能差、可伸缩性差
员工在和防火墙对话,防火墙在和服务器在对话,借此隐藏内网
防火墙对外代理员工,对内代理服务器
▪状态检测防火墙 (主流)
这个防火墙优先匹配状态,这个状态只有在放行之后才会有策略,又出才有回,没出主动进是进不来的
只要单方向写策略就行
现代主流防火墙
,速度快,配置方便,功能较多
从传统包过滤发展而来,除了包过滤检测的特性外,对网络
连接
设置状态特性加以
检测。
优点
减少检查工作量,提高效率
连接状态可以简化规则的设置
缺点:
对应用层检测不够深入
他能检测哪个数据包是回包(有状态了)回包满足状态特征
▪DPI防火墙(Deep Packet Inspection)
未来防火墙的发展方向,能够高速的对第七层数据进行检测(高速应用层防火墙)
衡量防火墙性能的5大指标
1
、
吞吐量
:在不丢包的情况下单位时间内通过的数据包数量
2
、
时延
:数据包第一个比特进入防火墙到最后一比特从防火墙输出的时间间隔
3
、
丢包率
:通过防火墙传送时所丢失数据包数量占所发送数据包的比率
4
、
并发连接数
:防火墙能够同时处理的点对点连接的最大数目
5
、
新建连接数
:在不丢包的情况下每秒可以建立的最大连接数
防火墙的工作模式
1、标准应用 —— 透明模式
▪
透明模式/桥模式一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下,
用户需要加装防火墙以实现安全区域隔离的要求。
用户需要加装防火墙以实现安全区域隔离的要求。
▪
一般将网络分为内部网、DMZ区和外部网
透明模式的防火墙工作在二层
这张图的防火墙端口是二层端口不代表防火墙内部构造就是二层
透明模式就是大家都在同一网段
2、标准应用 —— 路由模式 / NAT模式
这里防火墙是工作在三层
▪
路由/NAT模式一般用于防火墙当作路由器和NAT设备连接上网的同时,提供安全
过滤功能。
▪
一般将网络分为内部网、DMZ区和外部网
SNAT:源网络地址转换
DNAT:目标网络地址转换
内向外走是做源转换,外往内走是只做目标转换
内向外走是做源转换,外往内走是只做目标转换
3、标准应用 —— 混杂模式
▪
一般网络情况为透明模式和路由模式的混合。
4、高级应用—双机热备
防火墙策略分析-最安全的防火墙架构
防火墙部署
防火墙配置
实验
详细过程:https://blog.csdn.net/Until_U/article/details/107089913