[系统运维]防火墙简介

本文讲的是一些浅显的理论知识，在后续文章中会从原理与配置两方面入手深层次的聊一聊防火墙。

目录

华为防火墙

广义防火墙：

华为防火墙默认安全区域（四个）

阻止服务器主动访问办公网络的原因

防火墙的分类

无状态包过滤防火墙

状态检测防火墙

升级版的状态检测防火墙

下一代防火墙（NGFW）

下一代防火墙与UTM区别

代理服务器

防火墙的两种工作模式

（1）路由模式

（2）透明模式

防火墙的本质：连接两个或多个网络区域，并且基于策略限制区域间流量的设备。

最基本的功能：区域隔离和访问控制 ?（狭义的防火墙）

华为防火墙

默认情况：不同区域之间是不通的。想要谁同，就要做策略。

华为防火墙的安全策略默认情况下仅控制单播流量[比如OSPF、BGP、DHCP等]，对组播和广播流量默认不做控制，直接放行。但是你可以通过命令让防火墙对组播流量也做控制。

特殊情况:抵达华为防火墙自身的Telnet、SSH、 HTTP、 HTTPS、 SNMP、 Netconf等管理类型的流量，不受华为防火墙安全策略的控制，受接口下命令[service-manage +协议+ permit/deny]的控制。

不需要考虑流量怎么返回

看有无会话表 ?看路由表 ?再看策略 ?再生成防火墙 ?返回的数据不在看策略（有会话表）

广义防火墙：

入侵防御系统IPS，反病毒AV，WAF，文件过滤，内容过滤，反垃圾邮件

入侵防御系统IPS：主要是抵御攻击的 ??如ddos?? tcp泛洪攻击等

反病毒AV：检测病毒的 ?检测到下载文件有病毒 ?就可以阻断这个下载的流量

WAF：是用来专门保护网站的安全的

绝大多数核心防火墙是没有WAF的功能的，很多厂商有单独的WAF产品

华为（WAF5000）思科（无）

文件过滤：防止数据泄露

?????? 如 ?很重要的文件都是pdf格式的 ?就可以在防火墙上做限制，任何pdf不允许往外传

?????? 改后缀也没用（以前可以 现在都是根据文件特征码识别 ?改后缀就没用了）

内容过滤：针对内容做过滤

它可以读取你文件里面的内容，哪怕你是加密的（https） ?防火墙是可以解密的

它可以对你的流量进行分析，防止里面有一些敏感的内容、恶意代码等

反垃圾邮件：阻止垃圾邮件

垃圾邮件指的是任何你不想收到的邮件

防火墙有这么多功能但是是不会全部开启的，这一些功能是非常消耗防火墙的性能的。

企业想要完成上面功能的时候，并不是靠防火墙一台设备去做，会有专门的设备去防护

如：IPS（华为、绿盟） ?反病毒AV（卡帕斯基、瑞星）?????

文件过滤、内容过滤（深信服）????? 反垃圾邮件（思科 有专门的 垃圾邮件防火墙）

华为防火墙默认安全区域（四个）：

Local区域：防火墙本地

Trust区域：信任区??????????????????????????????? （内网）

DMZ区域：非军事区，隔离区，缓存区 （服务器）

Untrust区域：非信任区??????????????????????????????? （外网）

在华为防火墙上，一个接口只能加入到一个安全区域中。

阻止服务器主动访问办公网络的原因：

DMZ区域：作用：防止攻击者一服务器为跳板攻击办公网络

如果，服务器和办公网络在同一网段，能主动访问办公网

那么病毒、恶意代码就会直接蔓延到办公网络

防火墙的分类

1.按照形态划分：1.硬件防火墙（实物） ???????????????????????? 2.软件防火墙（内置到操作系统）

2.按照保护对象划分：1.网络防火墙（保护整个内网） ????? 2.单机防火墙等（内置的）

3.按照应用功能划分：1.网页安全防火墙（思科WSA）（保护用户上网安全）?

?????? 2.邮件安全防火墙（思科ESA）（邮件安全）??????????????? 3.WAF：（保护网站安全）

4.按照访问控制方式(工作原理)分为（最主流）:

无状态包过滤防火墙Stateless Packet Filtering

状态检测防火墙Stateful Packet Filtering

下一代防火墙(NGFW)Next Generation Firewall

代理服务器防火墙Proxy Server

前三种就是发展历程

无状态包过滤防火墙

不能称之为真正意义上的防火墙，更像路由器上的ACL列表

只能对静态流量作访问控制，而且配置复杂

特性：1. 依赖于静态的策略来允许和拒绝数据包

? ? ? ? ? ?2. 对静态的TCP应用和仅仅对三-四层流量的过滤

限制：1. 不能支持动态应用

? ? ? ? ? ?2. 实施需要专业的知识

? ? ? ? ? ?3. 不能抵御应用层攻击

解释实施需要专业的知识：

如收发邮件需要用到两个协议：

SMTP：简单邮件传输协议（25）发送邮件

POP3：收邮件（110）

收发邮件端口不一样：如果要对邮件流量做访问控制，又不懂邮件的工作原理，就无法进行下去

解释不能低于应用层攻击：

工作再三四层：看不到七层

状态检测防火墙

无需考虑回来方向的流量

真正的防火墙出现了，相比于上一代，多了一个状态检测的功能

数据包出去：策略通过：记录下来（状态表）（记录 源目IP，协议，端口等等）

回包：对比状态表：发现是刚刚出去的：不检测：直接放行

特性：1.?可靠的三到四层的访问控制

? ? ? ? ? ?2. 配置简单（只需考虑出方向）

? ? ? ? ? ?3. 透明并且高性能

限制：1.?不能洞察5-7层内容

? ? ? ? ? ?2. 如果应用层流量被加密,也无法支持动态应用

解释高透明：客户感知不到防火墙的存在

解释高性能：根升级版的状态检测防火墙做对比的

升级版的状态检测防火墙

（能对应用层进行控制）

统一威胁管理(UTM,Unified Threat Management )（2000-2015年提的较多）

防火墙内置的安全功能(模块) UTM (统一威胁管理)

如：IPS、AV、AC、URL过滤、反垃圾邮件等等

特性：1.?可靠的三到七层的访问控制(可识别应用层的内容了)

? ? ? ? ? ?2. 集成各种安全模块(AC/AV/IPS等)

? ? ? ? ? ?3. 透明和中等性能（功能多了些 需要更好的性功能 性能降低了）

限制：1.?应用层监控和控制影响性能

? ? ? ? ? ?2. 为了深度的内容分析需要设备有很强的缓存能力

下一代防火墙（NGFW）

集成了IPS、AV、VPN、Ddos防护等安全功能

这种集成不是功能模块和弓|擎的堆砌,而是一种深度的集成,将各种安全功能融入一个独立的架构中。

特点：1. 用户识别、应用识别、内容扫描、威胁防护

? ? ? ? ? ?2. 单一策略（外在）、一次解包、全面检查（内在）

?????? 做配置的时候各个模块一块做。（上一代 ?一个一个模块单独配置）

下一代防火墙与UTM区别：

NGFW不是像UTM那样简单的扩展功能模块

NGFW各安全模块也不像UTM那样各个模块独立工作

而是各安全模块间可开展有机联动,各模块产生的信息可实现全维度关联

使NGFW具备强大的模块间安全协同能力和威胁情报聚合能力。

UTM功能集合更像是简单的1 +1 =2甚至是1+1<2 ,而NGFW则是1+1>2

代理服务器

是一种模型

特性:1. 可靠的三到七层的访问控制

? ? ? ? 2. 自动的对协议进行规范化处理

????????3. 能够采用宽容或者限制的访问控制技术（代理服务器挂了 出还是不出）

限制:1. 不能广泛的支持所有的应用（但基本上支持）

????????2. 不适合对实时流量(超低延时)采取这种技术（股票等对流量要求高的不能用（需要抄低延迟））

????????3. 不透明（人为指定代理服务器）

防火墙的两种工作模式

华为防火墙具有两种工作模式：路由模式、透明模式

（1）路由模式

如果华为防火墙连接网络的接口配置IP地址，则认为防火墙工作在路由模式下。

当华为防火墙位于内部网络与外部网络之间，

需要将防火墙与内部网络、外部网络以及DMZ三个区域相连的接口分别布配置成不同网段的IP地址，

所以需要重新规划原有的网络拓补，此时防火墙首先是一台路由器，

然后提供其他防火墙功能。路由模式需要对网络拓补进行修改，比较麻烦！

（2）透明模式

如果华为防火墙通过第二层对外连接（接口无IP地址），则防火墙工作在透明模式下。

如果华为防火墙采用透明模式进行工作，只需在网络中像连接交换机一样连接华为防火墙即

可，其最大的优点是无需修改任何已有的IP配置；

此时防火墙就像一个交换机一样工作，内部网络和外部网络必须处于同一个子网。

此模式下，报文在防火墙当中不仅进行二层的交换，还会对报文进行高层分析处理。

本文有自己整理而成，如有不当之处，欢迎大佬指正。