防火墙相关知识总结

• 防火墙介绍

• 防火墙工作层次
• 部署模式

• 传统防火墙

• 1.包过滤防火墙
• 2.状态检测防火墙
• 3.应用代理防火墙
• ALG技术

防火墙介绍

• 定义：是一个把网络分成多个区域，不同区域定义不同安全级别，并默认阻止低安全级别区域访问高安全级别区域的安全系统

防火墙工作层次

网络安全中的ac指什么 af 网络安全_IP" height="270" src="https://i-blog.csdnimg.cn/img_convert/e8b489f075e93a51ef350431b2adb10c.png" width="491" />

防火墙系统能工作在OSI 7层模型的5个层次上，能从越多的层来处理信息，意味着在过滤处理中就跟精细

部署模式

1. 路由模式：可以看成 “防火墙+路由器”
2. 网桥模式：可以看成 “防火墙+交换机”

当内网需要边界路由器做NAT，那就选用网桥模式，在防火墙之外再加一个路由器；如果不需要边界路由器，就选用防火墙启用路由模式

软件防火墙更加依附软件系统，硬件防火墙属于硬件设备，有专门的一套系统，友好性不如软件防火墙，但是更安全

根据防火墙服务层面的不同来分类：

网络安全中的ac指什么 af 网络安全_包过滤_02" height="203" src="https://i-blog.csdnimg.cn/img_convert/305feac561bf7744e336b4ab7f845426.png" width="538" />

传统防火墙

1.包过滤防火墙

• 工作原理：基于数据包的五元组（源IP、目的IP、源端口、目的端口、协议号），直接通过ACL包过滤来过滤掉威胁访问
• 类似交换机、路由器的ACL，工作于网络层和传输层
• 实现原理：检查IP、TCP、UDP信息（五元组）

优点：

1. 对单个包过滤速度快、性能高、通过硬件实现
2. 检查IP、TCP、UDP信息

缺点：

1. 不能根据状态信息进行控制，比如 数据包能出去但是要在回来方向上写ACL放通回来的包
2. 前后报文无关，就是上一条的意思，出内网和外网进入内网的包无关联
3. ACL配置复杂，不支持应用层功能机，不支持认证

2.状态检测防火墙

状态检测防火墙依然是基于包过滤

• 流（Flow）：是一个单方向概念，根据报文所携带的三元组/五元组唯一标识，根据IP层协议不同，流分四大类：
  TCP流：通过五元组唯一标识
  UDP流：同TCP流
  ICMP流：通过三元组(协议、源IP、源端口) + ICMP Type + ICMP code
  RAW IP流：三元组

首包检测ACL表，如果放行--------就记录状态到状态表-------后面跟着的包，就先查状态表，无需重复查找规则

• 会话（Session）：是一个双向概念，一个会话关联两个方向的流，一个为发起方，一个为响应方

首包创建会话，采用会话表维持通信状态，表中包含了五元组
后来的包，首先查会话表，如果匹配则转发；如果不匹配，就会查域间规则（即ACL），再来确定转发/丢弃

• 优点：
  知晓连接状态，更安全，更快速
• 缺点：
  不能检测应用层信息，如URL，不能阻止应用层攻击
  不是所有协议都有状态，比如UDP，ICMP
  不支持多连接/多通道连接，比如FTP分控制和数据连接

网络安全中的ac指什么 af 网络安全_包过滤_03" height="445" src="https://i-blog.csdnimg.cn/img_convert/a154df395d41d9df980754dcf8be396b.png" width="384" />

注1：防火墙缺省高级别区域可以访问低级别区域，反过来不行，可以写ACL手动放通。

3.应用代理防火墙

通常又称 代理防火墙，一般使用软件来完成，给用户充当代理，要求用户进行身份验证，并能对用户进行URL过滤。
首先截取用户初始化连接请求并发送给用户一个认证信息的请求；
认证通过后允许流量通过；
存储合法用户信息xauth表；
可以对应用协议以及数据进行分析检测。
工作层次：3网络层、4传输层、5会话层、7应用层

工作流程图：

网络安全中的ac指什么 af 网络安全_应用层_04" height="301" src="https://i-blog.csdnimg.cn/img_convert/60cc4e242ca958b3ea6f8d84862b1051.png" width="588" />

• 优点：支持连接身份认证，能检测应用层数据，如上网认证，URL过滤，关键字检测等行为管理
• 缺点：通过软件来处理，消耗系统资源，仅支持TCP应用（如HTTP、HTTPS、Telnet、FTP），可能需要额外安装客户端软件

ALG技术

ALG（Application Layer Gateway）应用级网关

技术背景：在应用层协议中，有很多包含多通道多连接的信息，如多媒体协议、FTP等。这种多通道应用需要首先在控制通道中对后续数据通道的地址和端口进行协商，然后根据协商结果建立数据通道连接。

ALG是一种对应用层信息进行处理的技术，能够监听每一个应用的每个连接所使用的端口，打开合适的通道允许会话中的数据穿过防火墙，会话结束时关闭通道，从而实现动态端口应用的有效访问控制。

• 会话层状态：记录了传输层报文之间的交互信息，包括源IP地址、源端口、目的IP地址、目的端口，协议类型等，创建会话状态信息。
• 动态通道（基于应用层会话状态）：当应用层协议报文中携带IP地址、tcpUDP端口信息时，这些地址信息会被用于建立动态通道，后续符合该地址信息的连接将使用已经建立的动态通道来传输数据。

网络安全中的ac指什么 af 网络安全_网络安全中的ac指什么_05" height="402" src="https://i-blog.csdnimg.cn/img_convert/db6133141f7bb7fca818772ca95eaaef.png" width="539" />

 

网络安全学习路线

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

同时每个成长路线对应的板块都有配套的视频提供：

需要网络安全学习路线和视频教程的可以在评论区留言哦~

最后

• 如果你确实想自学的话，我可以把我自己整理收藏的这些教程分享给你，里面不仅有web安全，还有渗透测试等等内容，包含电子书、面试题、pdf文档、视频以及相关的课件笔记，我都已经学过了，都可以免费分享给大家！

给小伙伴们的意见是想清楚，自学网络安全没有捷径，相比而言系统的网络安全是最节省成本的方式，因为能够帮你节省大量的时间和精力成本。坚持住，既然已经走到这条路上，虽然前途看似困难重重，只要咬牙坚持，最终会收到你想要的效果。

黑客工具&SRC技术文档&PDF书籍&web安全等（可分享）

结语

网络安全产业就像一个江湖，各色人等聚集。相对于欧美国家基础扎实（懂加密、会防护、能挖洞、擅工程）的众多名门正派，我国的人才更多的属于旁门左道（很多白帽子可能会不服气），因此在未来的人才培养和建设上，需要调整结构，鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”，才能解人才之渴，真正的为社会全面互联网化提供安全保障。

特别声明：
此教程为纯技术分享！本教程的目的决不是为那些怀有不良动机的人提供及技术支持！也不承担因为技术被滥用所产生的连带责任！本教程的目的在于最大限度地唤醒大家对网络安全的重视，并采取相应的安全措施，从而减少由网络安全而带来的经济损失