防火墙的总结
- 防火墙的定义
- 防火墙的发展历史
- 包过滤防火墙----访问控制列表技术---三层技术
- 代理防火墙----中间人技术---应用层
- 状态防火墙---会话追踪技术---三层、四层
- 下一代防火墙
- 防火墙的分类
- 防火墙处理多通道协议
- 防火墙如何处理NAT
- NAT
- NAT协议的工作原理
- NAT在防火墙中的配置有以下几种形式:
- 一对一配置
- 一对多配置
- 多对多配置
- 端口映射
防火墙的定义
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备、主要功能就是将授权用户与非授权用户隔离开。网络时代的更新迭代,对防火墙的需求跟要求愈发巨大,这也极大的推进了防火墙的发展,几经更新迭代,我们所使用的防火墙从包过滤防火墙一步一步迭代到了下一代防火墙。下面讲讲防火墙的发展历史。
防火墙的发展历史
包过滤防火墙----访问控制列表技术—三层技术
包过滤型防火墙运用ACL技术,可以对数据进行限制,但是,此种技术限制较大,虽然操作原理比较简单,但是无法动态改变策略,需要的人工操作量巨大。而且对用户与非用户之间的管理较为粗糙,安全性得不到保证。
代理防火墙----中间人技术—应用层
- 降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
- 代理防火墙可以针对应用层进行检测和扫描,可有效地防止应用层的恶意入侵和病毒。但是只能针对特定的应用来实现,应用间不能通用。
- 代理防火墙的缺点是对系统的整体性能有较大的影响,系统的处理效率会有所下降,因为代理型防火墙对数据包进行内部结构的分析和处理,这会导致数据包的吞吐能力降低。
状态防火墙—会话追踪技术—三层、四层
在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。且具有首包机制(如下图),对第一个通过的包扫描安全策略,如果可以通过则创建会话表,后面的包则可以通过查看会话表来通行。会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
下一代防火墙
2008年Palo Alto Networks 公司发布了下一代防火墙(Next-Generation Firewall),解决了多个功能
同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。2009年
Gartner(一家IT咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性:
- 传统防火墙的功能
NGFW是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状
态检测、NAT、VPN等。 - IPS 与防火墙的深度集成
NGFW要支持IPS功能,且实现与防火墙功能的深度融合,实现1+1>2的效果。Gartner特别强调IPS与防
火墙的“集成”而不仅仅是“联动”。例如,防火墙应根据IPS检测到的恶意流量自动更新下发安全策略,而
不需要管理员的介入。换言之,集成IPS的防火墙将更加智能。Gartner发现,NGFW产品和独立IPS产品
的市场正在融合,尤其是在企业边界的部署场景下,NGFW正在吸收独立IPS产品的市场。 - 应用感知与全栈可视化
具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是NGFW引
进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW能对
七层检测,可以清楚地呈现网络中的具体业务,并实行管控。 - 利用防火墙以外的信息,增强管控能力
防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全
策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化
带来的管控难题。
防火墙的分类
-
软,硬件形式分类:软件防火墙、硬件防火墙、芯片级防火墙。
-
防火墙使用技术分类:包过滤型防火墙、应用代理型防火墙 。
-
防火墙物理结构分类:单一主机防火墙、路由器集成式防火墙、分布式防火墙。
-
防火墙的应用部署位置分类:边界防火墙、个人防火墙、混合防火墙。
-
防火墙物理性能分类:百兆级防火墙、千兆级防火墙。
-
防火墙工作所在层分类:网络层防火墙、物理层防火墙、链路层防火墙。
防火墙处理多通道协议
- 多通道协议带来的技术难点:多通道协议比如FTP、VOIP等协议,通道是随机协商出的,防火墙不能设置策略也无法形成会话表。
- 使用ASPF技术,查看协商端口号并动态建立server-map表放过协商通道的数据。
ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能
可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过
检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据
通道的报文,相当于自动创建了一条精细的“安全策略”。
防火墙如何处理NAT
NAT
NAT协议的工作原理
NAT极大的延缓了IP地址资源的枯竭。
NAT地址转换协议,顾名思义,用于转换地址。为什么要转换地址,有何种用途?
使用场景常是私网访问公网,或者公网外设备需要访问私网的服务器的情况。
NAT在防火墙中的配置有以下几种形式:
一对一配置
- 不带端口转换方式 静态NAT
- 带端口转换方式NAPT
- Easy IP
一对多配置
- 地址池转换
多对多配置
端口映射
- 目的Nat
