防火墙的基本功(防火墙基础)
防火墙的基本功(防火墙基础)从最初的简单访问控制,到基于会话的访问控制,再到下一 代防火墙上基于应用、用户和内容来做访问控制,都是为了 实现更有效更精确地访问控制访问控制越来越精确具备部分安全特性在中高端,防火墙愈加突出安全特性路由交换及TCPIP协议是防火墙的网络基础特性
防火墙:FireWall·位于多个信任程度不同的网络之间(如企业内部网络和Internet之间)的设备。 ·对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的
·防火墙 = 硬件 软件 控制策略
- 宽松控制策略:除非明确禁止,否则允许
- 限制控制策略:除非明确允许,否则禁止
·路由器与交换机的本质是转发,防火墙的本质是控制
在低端,防火墙和路由器有融合趋势,防火墙具备大部分路由器功能,路由器
具备部分安全特性
在中高端,防火墙愈加突出安全特性
路由交换及TCPIP协议是防火墙的网络基础特性
防火墙和路由器实现安全控制的区别
|
访问控制越来越精确 |
从最初的简单访问控制,到基于会话的访问控制,再到下一 代防火墙上基于应用、用户和内容来做访问控制,都是为了 实现更有效更精确地访问控制 |
|
防护能力越来越强 |
从早期的隔离功能,到逐渐增加了入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能,防护手段越来越多,防护的范围也越来越广 |
|
性能越来越高 |
随着网络中业务流量爆炸式增长,对性能的需求也越来越高,各个防火墙厂商通过对硬件和软件架构的不断改进,使防火墙的处理性能与业务流量相匹配 |
·协议识别技术,仅检查报文的五元组,根据TCP/UDP报文的端口号来识别应用,而目前有许多传统和新兴应用采用了各种端口隐藏技术来逃避检测,如使用非知名端口和随机端口
·另一方面,一个协议可以用于多个应用软件,一个应用软件也可能使用多个协议。 协议和应用之间的关系错综复杂纠缠不清
·当前网络中可能包括协作类应用、即时消息、电话会议、流媒体、文件共享、在线存储、VoIP、P2P、游戏、娱乐等等各种应用
·企业必须正确区分合法应用、风险应用和带宽占用类应用,保证正常业务的带宽, 限制甚至阻断社交媒体和游戏娱乐类应用,并消除潜在的威胁。这一切都落在了防火墙的肩上,这是时代对防火墙提出的新要求
·按照形态
- 硬件防火墙
- 软件防火墙
•按照保护对象
- 单机防火墙
- 网络防火墙
·按照访问控制方式
- 包过滤防火墙
- 代理防火墙
- 状态检测防火墙
在网络层对每一个数据包进行检查,根据配置的规则
转发或丢弃数据包,通过配置ACL来实现
作用于应用层,其实质是把内部网络和外部网络
用户之间直接进行的业务由代理接管
包过滤技术的扩展,基于连接状态的包过滤在进行数据包的检查时, 不仅将每个数据包看成是独立单元,还要考虑前后报文的历史关联性
