2019/6/24 —
此文章是关于防火墙发展的各个阶段的简单介绍
包过滤防火墙(第一代防火墙)
类似于ACL(访问控制列表),基于报文的五元组(源\目的IP , 源\目的端口,协议)对报文做过滤。
优点:效率高,速度快
缺点:只检查数据包的报头,不检查数据(应用层),安全性较低。
应用代理型防火墙(第二代防火墙)
优点:工作在应用层,安全性较高
缺点:处理速度慢,对每一种应用都需要独立进行开发。
只有少量的大规模应用或者需要高安全性的特定应用才会使用代理防火墙。
状态监测防火墙(第三代防火墙)
划分安全区域并动态分析报文的状态来决定对报文采取的动作,
首个数据包基于五元组并建立会话信息,后续数据包基于前面的会话信息进行转发。
基于数据包的连接状态建立会话表项,对后续数据包做检查
现在的主流防火墙都是基于状态检测的。
优点:处理速度快(不需要对每一个会话进行检测),安全性较高(划分安全区域,动态分析报文)。
状态防火墙维护一个关于用户信息的连接表,称为Conn(session)表。
默认情况下,ASA对TCP和UDP协议提供状态化连接,但ICMP协议是非状态化的。
UTM(第四代防火墙)
UTM(Unified Threat Management)统一威胁管理
多种安全功能集于一身,实现全面防护
如传统防火墙、入侵检测(IDS)、VPN、URL过滤、防病毒、邮件过滤、应用程序控制。。。
DPI (Deep Packet Inspection,深度报文检测)
对数据包做精准的分析。
缺点:utm设备多个安全功能同时运行,utm的处理性能会严重下降。
下一代防火墙(第五代防火墙)
NGFW
基于七元组对数据流做控制。
七元组(五元组+用户、应用和内容)
Palo Alto Networks (帕洛阿尔托网络)
下一代防火墙
两个问题:
端口和协议已经不能完全表示应用
流量首包不能完全代表整条流量的安全性
提出了两个机制:
一次扫描
实时监测
一次扫描:
通过专业的智能感知引擎,只需对报文进行一次扫描,
就可以提取所有内容安全功能所需的数据,识别出流量的应用类型、包含的内容与可能存在的网络威胁
实时检测:
通过高性能的智能感知引擎,
可以在流量传输过程中的所有报文进行实时检测,随时发现和阻断其中的不安全因素,实现对网络的持续保护。