简述防火墙

article/2025/8/15 22:08:40

什么是防火墙?

在遭受入侵时,做内外网隔离的策略叫做防火墙。

防火墙分类

  • 按物理特性划分:软件防火墙、硬件防火墙;
  • 按性能划分:百兆级防火墙、千兆级防火墙……
  • 按防火墙结构划分:单一主机防火墙、路由集成防火墙、分布式防火墙……
  • 按防火墙技术划分:应用代理防火墙、状态检测防火墙……

防火墙的功能

  • 访问控制
  • 地址转换
  • 网络环境支持
  • 带宽管理功能
  • 入侵检测和攻击防御
  • 用户认证
  • 高可用性

防火墙发展史

在这里插入图片描述

  • 包过滤防火墙(1989):访问控制代理防火墙
  • 代理技术状态防火墙(1994-5):会话机制
  • UTM(2004-5) :多功能叠加
  • 下一代防火墙(2009):深度检测技术
  • 网闸(国内):默认设备在物理上不连通,当软件层面放通流量时,内部的拨片连接

包过滤防火墙

本质

使静态ACL,并且是逐包检测的技术

工作过程

在这里插入图片描述

缺点

  • 检查数据逐包检查,效率低;
  • 绝大多数都是静态ACl;
  • 无法检查应用层的内容;

应用的技术发展和漏洞

双向ACL+动态NAT

入向的源IP和目的端口必须写成any
漏洞:

  • 可以通过伪造数据包突破
  • 可以通过不停的给防火墙的公网地址发送TCP的SYN包不发ACK占满防火墙的TCP等待表使防火墙无法建立新的TCP连接(半开攻击)

established acl

一个ACL能够拒绝外部向内部主动建立TCP连接,而不影响内部与外部的主动建立连接:检查Flag字段,查看TCP的RST(用于强制释放连接)和ACK的置位,可以做策略只有这两种置位的包可以进入内网,当外部想与内部主动建立TCP连接必须发送SYN包,该策略可以防止SYN进入。
漏洞:

  • 黑客发送大量伪造的ACK包,影响性能;
  • 黑客发送伪造RST包,使内网的TCP连接及内存强制断开清除;

自反ACL

当内部有包向外部发送,自反ACL将这个包的源目倒置的放行写在另一个ACL挂在回来的口,如果外部主动向内部发包,ACL中没有记录会被拒绝;

应用代理防火墙

代理内外网的数据将数据包应用层数据检查一遍

在这里插入图片描述

缺点:

由于要拆包检测数据所以性能很弱

状态检测防火墙(三四层防御)

理念升级,把网络中的数据以流的形式对待。流在状态防火墙,会形成会话表。

在这里插入图片描述

会话表的建立

会话表建立前提:检测路由或者MAC看是否能出去(有无出接口);NAT;策略检查;
过程:

  1. 流的第一个包进入防火墙,防火墙先去匹配规则,如果规则允许会到第二步,如果规则不允许,丢弃。(路由规则、nat的规则、策略);
  2. 会为流建立会话表,后续所有流的包直接匹配会话表进行转发。2.会为流建立会话表,后续所有流的包直接匹配会话表进行转发。

在这里插入图片描述
在这里插入图片描述
超时机制

  • 握手阶段会话表超时时间一般60s,防止tcp半开攻击。
  • 握手成功一般会话表的超时时间为60min。

缺点

只检查三、四层,无法防御病毒漏洞等攻击;

UTM(统一威胁管理)

多功能叠加防火墙,深度包检测技术,多次拆包,多次检测应用层性能低
在这里插入图片描述

应用技术

  • IDS入侵监测系统
  • IPS入侵防御系统:深度包检测技术(应用层内容特征)、深度流检测技术(流量的行为特征)
  • WAF:web应用防火墙,本质上是HTTP的代理服务器,只能防御针对web的攻击

防火墙性能指标

吞吐量

  • 吞吐量:防火墙能同时处理的最大数据量
  • 有效吞吐量:除掉TCP因为丢包和超时重发的数据, 实际的每秒传输有效速率
  • 衡量标准:吞吐量越大,性能越高

时延

  • 定义:数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标
  • 用于测量防火墙处理数据的速度理想的情况,测试的是其存储转发(Store and Forward)的性能。
  • 衡量标准:延时越小,性能越高

丢包率

  • 定义:在连续负载的情况下,防火墙由于资源不足,应转发但是未转发的百分比。
  • 衡量标准:丢包率越小,防火墙的性能越高

背靠背(缓存)

衡量标准:背靠背主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。

并发连接数

  • 定义:由于防火墙是针对连接进行处理的,并发连接数目是指防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
  • 衡量指标:并发连接数指标越大,抗攻击能力也越强。

防火墙的问题

FTP的问题?

  • 请求和传输分为俩个端口实现,传输由服务器主动发出,防火墙的会话表是没有这个状态的,导致FTP传输无法成功。
  • 端口检测技术(ISPF),检查21号端口的传输的数据的数据部分(应用层)查看传输的协商端口,然后在防火墙上开放此端口。
  • 这种技术会使得防火墙性能下降。

ICMP的问题?

  • 没有端口,防御能力继续下降。一般防火墙会默认禁止icmp回报。

UDP的问题?

  • 没有flag字段,所以检测的元素会变少,防御效果会减弱。而且udp是无连接的,只能通过源目IP,端口去判断。
  • UDP对防火墙来讲也会创建虚连接会话表。

http://chatgpt.dhexx.cn/article/DbGWPMCM.shtml

相关文章

【计算机基础】防火墙

【计算机基础】防火墙

工程师CCNAHCIA 资深工程师CCNPHCIP 技术专家CCIEHCIE IPS:入侵防御系统,发现攻击和入侵进行阻断IDS:入侵检测系统,检测有无攻击漏洞扫描:发现本地服务器/PC,存在哪些中高低危的风险,解决漏洞…
阅读更多...
下一代防火墙概述

下一代防火墙概述

目录 1.防火墙概述 1.1定义 1.2防火墙分类 1.3防火墙功能 1.4防火墙的策略 2.防火墙发展史 2.1 包过滤防火墙:一个严格的规则表 2.2 应用代理防火墙:为每个应用添加代理 2.3 状态检测防火墙:建立会话表 2.4 入侵检测系统&#xff0…
阅读更多...
上海交通大学考研复试模块小结——防火墙技术

上海交通大学考研复试模块小结——防火墙技术

既然上次开了这个系列,索性就把这个信息安全这一块的主流技术都介绍一遍好了。上篇博客讲了密码学,今天就来说说防火墙技术。 防火墙技术 防火墙技术是位于两个新人程度不同的网络之间的软件或者硬件设备的组合,实质上是一种控制隔离技术。…
阅读更多...
防火墙入门实验

防火墙入门实验

第一章 iptable的使用 一、实验原理 1.1 Iptables Iptables 是用来设置、维护和检查Linux内核的IP包过滤规则的。 可以定义不同的表,每个表都包含几个内部的链,也能包含用户定义的链。每个链都是一个规则列表,对对应的包进行匹配&#xf…
阅读更多...
NAT和防火墙

NAT和防火墙

网络地址翻译没文化的酒鬼 防火墙和NAT NAT路由器是安装了NAT软件的路由器,拥有至少一个全球通用的外部IP。 在计算机网络中,NAT最直接的作用是IP映射:将内网终端A的IP和端口号经过NAT映射后,转成公网服务器B的IP和新端口号&am…
阅读更多...
快速了解防火墙

快速了解防火墙

快速了解防火墙 防火墙是一种由计算机硬件和软件组成的系统,部署于网络边界,是连接内部网络和外部网络(或内部网络不同安全级别的部门)之间的桥梁,同时对进出网络边界的数据进行保护,防止恶意入侵、恶意代码的传播等,…
阅读更多...
防火墙概述

防火墙概述

AC是为了防御从内网到外网的攻击防火墙是为了防御从外网到内网的攻击 防火墙的定义 防火墙通常用于两个网络之间的隔离 主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为路由器与交换机的本质是转发,防火墙的本质是控制和防护 防火墙的工…
阅读更多...
防火墙(firewall)

防火墙(firewall)

前言 计算机的安全性历来就是人们热衷的话题之一。而随着Internet的广泛应用,人们在扩展了获取和发布能力的同时也带来信息被污染和破坏的危险。这些安全问题主要是由网络的开放性、无边界性、自由性造成的,还包括以下一些因素。 1. 计算机操作系统本身…
阅读更多...
华为防火墙的学习

华为防火墙的学习

防火墙 - 含义和定义 什么是防火墙? 防火墙的工作原理 防火墙的区域: 包过滤防火墙----访问控制列表技术---三层技术 代理防火墙----中间人技术---应用层 状态防火墙---会话追踪技术---三层、四层 UTM---深度包检查技术----应用层 下一代防火墙 防火墙的…
阅读更多...
正基WiFi模块AP6181系列设计指南

正基WiFi模块AP6181系列设计指南

阅读更多...
潘多拉 STM32L475 VE——开发板学习 (持续更新)

潘多拉 STM32L475 VE——开发板学习 (持续更新)

首先就是开发板的各个硬件的介绍: ◆ MCU : STM32L475VET6 , LQFP100 , SRAM : 128K , FLASH : 512K ◆ 外扩 SPI FLASH : W25Q128 , 16M 字节 ◆ 1 个电源指示灯…
阅读更多...
WiFi 移植记录及心得 一

WiFi 移植记录及心得 一

平台环境:IMX6-sabresd_6dq Android4.4.2 Linux3.0.35 WiFi模块:AP6181 (BCM43362) Linux3.0.35已经是支持博通的芯片,可以看到 kernel_imx/drivers/net/wireless 下面有几款博通芯片(bcm4329/bcm4330/bcmdhd)的驱动源码,AP6181WiFi模块用的bcm43362这款,所以这里选…
阅读更多...
imx6ull linux下wifi驱动移植

imx6ull linux下wifi驱动移植

linux下wifi移植,首先要保证硬件gpio相关配置正确,第二步是才是软件相关的配置 一、硬件篇 硬件模块选的是正基ap6745的三合一模块(wifi、bt、fm),wifi通讯用sdio模式传输数据,sdio_vsl决定sdio工作电压是…
阅读更多...
物联网中你需要了解的ESP8266最基本的知识!

物联网中你需要了解的ESP8266最基本的知识!

若要涉及到物联网,必然绕不开ESP8266。由于其低廉的价格、超高的性能和便利的开发环境,其毫无疑问成为了业界里程碑一样的存在。 在本文中,我们采购的是正点原子的ESP8266模块,连接的单片机为正点原子的STM32 MINI开发板。 本文…
阅读更多...
WiFi蓝牙FM三合一模块AP6356S

WiFi蓝牙FM三合一模块AP6356S

AMPAK正基AP6356S,这是一款可同时双频工作的双通道SDIO接口WiFi支持11ac级双频、蓝牙支持BT4.1标准的WiFi 蓝牙 FM三合一模块;其中蓝牙和WiFi共用天线(也就是双天线),还有一款硬件尺寸完全一样的,蓝牙WiFi天线分开的AP6398S3R(也就是三天线) 技术问题 模…
阅读更多...
正基WiFi模块STA模式基本操作示例(2)

正基WiFi模块STA模式基本操作示例(2)

接上一篇文章! 4. STA 模式基本操作示例 4-1 加载驱动 步骤 1. 加载驱动。 ap6181/ap6212/ap6212a/ap6214a/ap6255 himm 0x100d0004 0x1 himm 0x12098034 0x10101070 insmod cfg80211.ko insmod bcmdhd.ko firmware_path/etc/firmware/fw_bcm40181a2.bin nvram_path…
阅读更多...
android+wifi驱动移植,全志R16 android4平台移植wifi资料下载

android+wifi驱动移植,全志R16 android4平台移植wifi资料下载

2. 模块概述 目前R16 android4.4 平台上已支持wifi 模组有5款,本文档将以R16 y3方案为例 说明如何配置每款wifi 模组。Rtl8723au暂不支持 wifi 模组可分USB 接口和SDIO 接口两种类型,部分模组带蓝牙和FM 功能(FM 功能尚未支持),wifi 的全功能…
阅读更多...
ap8161驱动移植

ap8161驱动移植

平台:imx287 linux内核:2.6.35 开机设置:正常开机,跳线帽在jp4, SD烧写JP3 JP4 正常启动后,sd卡的内容读取,拔掉jp4跳线帽,在串口控制台输入:df -m 找到盘号。然后在板子的/media…
阅读更多...
[RK3288 Android7.1.2 ]新增wifi模块ap6256

[RK3288 Android7.1.2 ]新增wifi模块ap6256

Platform: ROCKCHIP Chip: RK3288 OS: Android7.1.2 Kernel: 4.4.143 背景 旧板wifi模块ap6235,硬件将wifi模块替换成ap6256,未改代码情况下,wifi不能用, 设备打印如下 代码修改 1.新增固件:wifi在externa\wlan_loader\firmw…
阅读更多...
RK903 RK901 AP6xxx系列WiFi模块配置

RK903 RK901 AP6xxx系列WiFi模块配置

包括以下模块:RK901、RK903、AP6181、AP6210、AP6330、AP6476、AP6335等选择“RK901/RK903/BCM4330/AP6XXX wireless cards support” 不需要配置:“Select the wifi module”与”Select the wifi module crystal freq”dts中wifi_chip_type配置&#xf…
阅读更多...
推荐文章

Copyright @ 2022~2023