基本概念
??防火墙指的是一个由软件和硬件设备组合而成、 在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是种计算机硬件和软件的结合使Internet与Intranet之间建立起一个安全网关 (Security Gateway)从而保护内部网免受非法用户的侵入, 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。
防火墙的类型
(1)过滤型防火墙
过滤型防火墙是在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过。在符合防火墙规定标准之下,满足安全性能以及类型才可以进行信息的传递,而一些不安全的因素则会被防火墙过滤、阻挡。
(2)应用代理类型防火墙
应用代理防火墙主要的工作范围就是在OSI的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。
(3)复合型
截至2018年应用较为广泛的防火墙技术当属复合型防火墙技术,综合了包过滤防火墙技术以及应用代理防火墙技术的优点,复合型防火墙技术综合了其组成部分的优点,同时摒弃了两种防火墙的原有缺点,大大提高了防火墙技术在应用实践中的灵活性和安全性。?
?
防火墙的发展史
- 第一代防火墙
第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。下图表示了防火墙技术的简单发展历史。
- 第二、三代防火墙
1989年, 贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙一- 应用层防火墙(代理防火墙)的初步结构。
- 第四代防火墙
1992年, USC信息科学院的BobBraden开发出了于动态包过滤(Dynamic packet filter) 技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection) 技术。1994年, 以色列的CheckPoint公司开发出了第一 个采用这种技术的商业化的产品。?
- 第五代防火墙
1998年,NAI公司推出了-种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。
- 一体化安全网关UTM
随着万兆UTM的出现,UTM代替防火墙的趋势不可避免。在国际上,飞塔公司高性能的UTM占据了-定的市场份额,国内,启明星辰的高性能UTM则一直领跑国内市场。?
?防火墙的三种配置
防火墙配置有三种: Dual-homed方式、 Screened- host方式和Screened-subnet方式。
? ?Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间, 这个Dual-omedGateway又称为bastionhost。 这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
? ? Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了-道屏障。 它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost, 只要有一个失败, 整个网络就暴露了。
? ? Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为”停火区”(DMZ, 即DemilitarizedZone) ,Bastionhost放置在" 停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。
硬件:先把国内防火墙厂商分成两大阵营:自研硬件与非自研硬件,又或者多核与x86;可称之硬件自研有华为,华三,迪普和山石。他们是有硬件研发能力的,好处是设备性能稳定性较好,相对成本会低一些,这也是运营商集采几乎都是这几家参与的原因,多核的缺点就是功能开发不够灵活,并且开启应用层功能后,整机性能下降较为严重。其他厂商用的是x86工机装centos然后运行自己的软件,本质上他们属于软件开发者,好处是产品功能丰富,界面友好,但高吞吐场景下(实际吞吐20G以上)稳定性欠佳,缺少快转模块,转发及高并发处理能力差,还有就是双机组网只是最简单的vrrp,切换慢,无法满足此场景的要求。不过呢,一般企业 政府 学校出口就几个G,数据中心和运营商才会用到这么大吞吐。几十G上百G的场景hw h3c dp hillstone都是有机框式设备,其他几家只有天融性有但运营商场景几乎没见过.启明也有但是近几年新产品,场景和案例较少. 所以硬件这方面,在高吞吐场景下,自研硬件厂商靠谱,哦对了自研硬件厂商还有个特点就是端口非常多,以华为华三为代表,一个千兆防火墙能有十几个千兆接口,当交换机都没问题
2、软件:上面提到非自研硬件厂商的产品特点是基于x86架构的开发,相对开发比较灵活,不同于mips架构底层硬件驱动兼容性问题较多.所以这类厂商的功能非常丰富,各种花里胡哨的功能都有,尤其以深信服为首。但需要清楚的一点,防火墙本质是安全防护,访问控制,即状态检测+威胁识别。
?