防火墙基础

1.防火墙概述

Firewall 

一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为

2.防火墙的功能

过滤进出网络的数据包

管理进出网络的访问行为

封堵某些禁止的访问行为

记录通过防火墙的信息内容和活动

对网络攻击进行检测和告警

能过滤大部分的危险端口

设置严格的外向内的状态过滤规则

抵挡大部分的拒绝服务攻击

3.防火墙的分类

①按照操作对象

    主机防火墙

    网络防火墙

②按照实现方式

    软件防火墙

    硬件防火墙

③按照过滤和检测方式

    包过滤防火墙                            写acl

    状态防火墙                          查状态

    应用网关防火墙                  代理防火墙

    地址转换防火墙

    透明防火墙                     模式   +路由防火墙

    混合防火墙

4.防火墙与OSI              检测

基本防火墙：网络层、传输层

高级防火墙：数据链路层、会话层、应用层

5.防火墙区域

防火墙拓扑位置

专用（内部）和公共（外部）网络之间

网络的出口和入口处

专用网络内部：关键的网段，如数据中心

防火墙区域

Trust（内部）

Untrust（外部，Internet）

DMZ（Demilitarized Zone，非军事化区域）

思科防火墙接口的安全级别

ASA的每个接口都有一个安全级别，范围是0~100，数值越大其安全级别越高。

不同安全级别的接口之间互相访问时，遵循的规则：

允许出站连接：即允许从高安全级别接口道低安全级别接口的流量通过，eg：从inside到outside时允许的；

禁止入站连接：即禁止从低安全级别接口到高安全级别接口的流量通过，eg：从outside到inside是禁止的；

禁止相同安全级别的接口之间通信。

7.常见防火墙技术介绍

①包过滤防火墙

也叫分组过滤防火墙。根据包的源、目的地址，端口号及协议类型、标志位确定是否允许包通过。

特性：

依赖于静态的策略来允许和拒绝数据包

对静态的TCP运用和仅仅对三层流量的过滤，工作是非常出色的。

透明并且高性能

一般使用限制的访问控制技术

缺点

不能支持动态运用

需要实施的专业知识

不能抵御一些探测攻击：

②应用网关防火墙

也叫应用代理防火墙。通过一种代理（Proxy）技术参与到一个TCP连接的全过程。从内部发出的数据包经过这样的防火墙处理后，就好像是源于防火墙外部网卡一样，从而可以达到隐藏内部网结构的作用

优点

安全性高

提供应用层的安全

可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强

缺点

性能差

伸缩性差

只支持有限的应用

不透明

难于配置

处理速度较慢

③状态检测防火墙

又称动态包过滤防火墙。对于新建立的应用连接，状态检测型防火墙先检查预先设置的安全规则，允许符合规则的连接通过；记录下该连接的相关信息，生成状态表；对该连接的后续数据包，只要是符合状态表，就可以通过。目前的状态检测技术仅可用于TCP/IP网络。

优点

可靠的三到四层的访问控制

配置简单

透明和高性能

一般使用限制访问控制技术

缺点

不能洞察5‐7层内容

如果运用层流量被加密，也无法支持动态运用

8.防火墙性能指标

吞吐量：在不丢包的情况下单位时间内通过的数据包数量

定义：在不丢包的情况下能够达到的最大每秒包转发数量

衡量标准：吞吐量作为衡量防火墙性能的重要指标之一，吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能

时延：数据包最后一个比特进入防火墙到第一比特从防火墙输出的时间间隔

定义：入口处输入帧的最后1个比特到达，至出口处输出帧的第一个比特输出所用的时间间隔

衡量标准：防火墙的时延能够体现它处理数据的速度

丢包率：通过防火墙传送时所丢失数据包数量占所发送数据包的比率

定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比

衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响

并发连接数：防火墙能够同时处理的点对点连接的最大数目

定义：指穿越防火墙的主机之间,或主机与防火墙之间，能同时建立的最大连接数。

衡量标准：并发连接数的测试主要用来测试防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现防火墙对来自于客户端的TCP连接请求的响应能力

新建连接数：在不丢包的情况下每秒可以建立的最大连接数

定义：指穿越防火墙的主机之间，或主机与防火墙之间，单位时间内建立的最大连接数。

衡量标准：新建连接数主要用来衡量防火墙单位时间内建立和维持TCP连接的能力

1.2 防火墙部署方式

1.防火墙的双区域部署

双区域设计在没有服务器的情况下是可以被允许的，但是当有服务集群的时候，需要将主机和服务器隔离开来，防止内部攻击！

2.防火墙的三区域设计

三区域设计引入DMZ非军事化区域，用于专门隔离服务器，实现更安全的互访！

3.防火墙的应用

标准应用

①透明模式/桥模式

如果防火墙采用透明模式进行工作，则可以避免改变拓扑结构造成的麻烦，此时防火墙对于子网用户和路由器来说是完全透明的。也就是说，用户完全感觉不到防火墙的存在。

采用透明模式时，只需在网络中像放置网桥（bridge）一样加入该防火墙设备即可，无需修改任何已有的配置。    

②路由/NAT模式

当防火墙位于内部网络和外部网络之间时，需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址，重新规划原有的网络拓扑，此时相当于一台路由器。如下图所示，防火墙的Trust区域接口与公司内部网络相连，Untrust区域接口与外部网络相连。值得注意的是，Trust区域接口和Untrust区域接口分别处于两个不同的子网中。    

采用路由模式时，可以完成ACL包过滤、NAT转换等功能。然而，路由模式需要对网络拓扑进行修改（内部网络用户需要更改网关、路由器需要更改路由配置等），这是一件相当费事的工作，因此在使用该模式时需权衡利弊。

③混合模式

实际应用中，一般网络情况为透明模式和路由模式的混合

如果防火墙既存在工作在路由模式的接口（接口具有IP 地址），又存在工作在透明模式的接口（接口无IP 地址），则防火墙工作在混合模式下

1.3 防火墙安全原理

自适应算法<状态检测算法>