• AC是为了防御从内网到外网的攻击
• 防火墙是为了防御从外网到内网的攻击
  

防火墙的定义

• 防火墙通常用于两个网络之间的隔离
  • 主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为
  • 路由器与交换机的本质是转发，防火墙的本质是控制和防护
• 防火墙的工作原理是通过设置安全策略，来进行防护
  

防火墙的分类

• 按物理特性划分
  • 软件防火墙
  • 硬件防火墙：专门的硬件设备
• 按性能划分：出口带宽
  • 百兆级防火墙
  • 千兆级防火墙
• 按防火墙结构
  • 单一主机防火墙：单独的一台防火墙设备
  • 路由集成防火墙：可以根据需求插板卡，既可以作为路由器使用，也可以作为防火墙使用
  • 分布式防火墙：一般适用于超融合的云计算环境，是虚拟化防火墙
    • 即看似一台防火墙，实际上它的硬件资源可能横跨多台服务器
• 按防火墙技术划分
  • 包过滤防火墙
    • 对经过防火墙的数据包进行逐包检查，通过检查数据包的五元组来判断丢弃还是转发
    • 只检查数据包的头部，无法检查出攻击和入侵行为
    • 由于每个数据包都要进行检查，所以会增加传输延迟
  • 应用代理防火墙
    • 使用防火墙对内网的的服务器提供代理服务，使外网的攻击无法直接接触到内网服务器，从而保护服务器
    • 只检查应用层数据内容，可以检查出入侵和攻击行为特征
  • 状态检测防火墙
    • 把五元组完全一致的数据包称为一个会话，或一组数据流（即来自相同的地方，要去相同的地方，要做相同的事得到数据包）
    • 状态检测防火墙只对会话的第一个数据包进行五元组的检查，后续所有数据包的处理方式和首包相同
      

防火墙的功能

• 访问控制
  • 用ACL限制访问
• 地址转换
  • NAT、NAPT、端口映射等
• 网络环境支持
  • 路由模式、网桥模式等
• 带宽管理功能
  • 即流量控制，不同的业务控制使用不同的带宽
• 入侵检测和攻击防御
  • IDS：入侵检测系统，入侵是在用户毫无感知的情况下获得计算机的控制权
  • IPS：入侵防御系统，攻击是对主机进行一些高危操作，例如删除数据等
• 用户认证
• 高可用性
  • 所有的防火墙都具备双机热备的功能，作用是为了防止一台防火墙宕机后，导致网络出现故障
    

防火墙安全策略

• 定义
  • 按照一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略
  • 规则的本质是包过滤
• 安全策略的作用
  • 对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙
  • 安全策略可以控制内网访问外网的权限，控制内网不同安全级别的子网间的访问权限等，还可以对设备本身的访问进行控制
• 安全策略的原理
  • 安全策略定义数据流在防火墙上的处理规则，防火墙根据规则对数据流进行处理
  • 根据定义的规则对经过防火墙的流量进行筛选，再根据配置的规则确定下一步的操作
• 安全策略分类
  • 域间安全策略
    • 用于控制域间的流量转发，适用于接口加入不同的安全区域的场景
    • 也用于控制外界设备与设备本身的互访，此时称为本地策略
  • 域内安全策略
    • 域内的数据流动通常不受限制，如果需要进行安全检查，则可以应用域内安全策略
  • 接口包过滤
    • 接口没有加入安全区域时，通过接口包过滤，控制接口接收和发送的IP报文

• 区域划分
  • Trtust：信任区域，连接内网
  • UnTrust：非信任区域，连接外网
  • DMZ：非军事化区域，连接服务器
  • Local/Management：管理区域，专门用于做带外网管

• 主要应用
  • 对跨防火墙的网络互访进行控制
  • 对设备本身的访问进行控制
    

防火墙相关技术

包过滤技术

• 在包过滤防火墙中，主要通过配置访问控制列表来控制访问
  • 通过报文的源目MAC、源目IP、源目端口及上层协议等信息，定义网络中的数据流
• 工作过程
  • 对需要转发的数据包，先获取数据包报文头部信息
  • 根据头部信息，与设定的规则进行对比
  • 根据对比结果，对数据包进行转发或丢弃
• 缺点
  • 过滤规则太简单，只能根据数据报文的报文头部信息进行匹配，不能建立更精细的规则，而且无法检查出攻击和入侵的行为特征
  • 逐包检查，即每个数据包都要检查，会增加传输延迟
  • 只能工作于网络层和传输层，不能判断高级协议中的数据是否有害
    

会话机制

• 传统的包过滤防火墙会逐包检测，对所有的数据报文都要检查，严重影响了设备的转发效率
• 状态检测防火墙以流量为单位来对流量进行检测和转发，仅对第一个数据包进行过滤规则检查，将判断结果保存在会话表中，后续再收到的数据报文，会优先与会话表中的内容进行匹配，无法匹配的，再与访问控制列表进行匹配
  • 会话表包含数据包的源目IP、源目端口、协议号
  • 通过建立动态的会话表，提供域间转发数据流更高的安全性

应用代理技术

• 包过滤技术不能提供完善的数据保护措施，对于一些特殊的报文攻击，包过滤技术不能消除危害
• 应用代理防火墙实际上就是一台数据检测过滤功能的透明代理服务器
  • 公网设备访问私网的服务器，由私网的防火墙做代理后，实际是直接访问防火墙，防火墙再向私网的服务器请求访问数据，使公网设备并不直接与服务器接触
  • 通过预置的处理规则，查询数据报文是否有害，再决定是否转发
• 因为代理防火墙不检查IP/TCP报头，不建立连接状态表，所以网络层的保护比较弱
• 由于使基于代理技术，通过防火墙的每个连接，都使建立再为之创建的代理程序进程上，所以数据通过代理防火墙时，不可避免会带来延迟
  

防火墙的性能指标

• 吞吐量
  • 即防火墙能同时处理的最大的数据量
  • 有效吞吐量：除去TCP因为丢包和超时重传的数据，实际的每秒传输的有效速率
  • 衡量标准：吞吐量越大，性能越高
• 时延
  • 数据包的第一个比特进入到防火墙到最后有一个比特输出防火墙的时间间隔指标
  • 用于测量防火墙处理数据的速度理想的情况，测试其存储转发的性能
  • 衡量标准：延时越小，性能越高

• 延时=发送延时+传播延时+处理延时+排队延时
• 传输时延=数据帧长度（bit/s）/信道带宽（bit/s）
• 传播时延=信道长度（m）/电磁波在信道上的传播速率（m/s）
• 处理时延：主机或路由器在收到分组时要花费一定的时间进行处理，例如分析分组的首部，从分组中提取数据部分，进行差错检验或查找适当的路由等
• 排队时延：分组在进入路由器后要先在输入队列中排队等待处理。在路由器确定了转发接口后，还要在输出队列中排队等待转发

• 丢包率
  • 在连续负载的情况下，防火墙由于资源不足，应转发但是未转发的百分比
  • 可以查看设备在流量过载时，对正常转发性能的影响
  • 衡量标准：丢包率越小，防火墙的性能越高
• 背靠背
  • 即缓冲区大小，测试设备缓冲处理突发数据的能力
  • 缓冲区越大，设备处理突发数据流缓存数据并快速处理的能力越高
• 并发连接数
  • 由于防火墙是针对连接进行处理的，并发连接数是指防火墙可以同时容纳的最大的连接数，一个连接即为一个TCP/UDP的访问
  • 衡量标准：并发连接数指标越大，抗攻击能力也越强

• 当防火墙并发连接数达到峰值后，新的连接请求报文到达防火墙时，将被丢弃

下一代防火墙

• UTM：安全网关
  • 把传统的防火墙功能、AV功能、IPS功能、WAF功能简单的集成在一个设备中
    • FW：防火墙
    • IPS：入侵防御系统
    • AV：网关防病毒，即相当于再网关设备上安装杀毒软件
    • WAF：Web应用防火墙，专门针对对内部网站进行攻击行为检测的防火墙

• 多次拆包，多次检测，应用层性能低
• 深信服下一代防火墙NGAF
  • 每个数据包都需要依次经过所有功能模块的检查，会增大传输的延迟
  • 把传统的防火墙功能、AV功能、IPS功能、WAF功能简单的集成在一个设备中
  • 每个数据包只需要依次拆包，就可以完成所有的功能模块的检查
  • 完整的L2-7层安全架构，有效检测APT攻击和僵尸网络
  • 基于应用的安全检测，直观呈现业务安全风险
  • 先进的云安全技术，快速发现并阻断新型威胁
• 下一代防火墙系统架构
  • 控制平面：负责整个系统各平面、各模块间的监控和协调工作
  • 转发平面：负责网络数据包的高速转发
  • 安全平面：负责安全功能的协调运行，采用一次解析引擎，一次扫描便可识别出各种威胁和攻击

• 下一代防火墙应用场景全景图

---

以上内容均属原创，如有不详或错误，敬请指出。