防火墙概述

防火墙的核心任务：控制和防护

防火墙的原理：通过安全策略来对流量进行控制和防护

防火墙的性能评判标准：吞吐量：单位时间内防护墙处理的数据量

防火墙一定程度上就是二层交换机和三层路由器的集合

一、防火墙发展历程

1、包过滤防火墙---一个严格的规则表（ACL相当于）

防火墙的安全策略在进行匹配时，自上向下逐一匹配，匹配上则不再向下匹配，结尾隐含一条 拒绝所有的规则。

判断信息：源IP、源端口、目标IP、目标端口、协议（五元组）

工作范围：网络层、传输层

缺点：

        1，因为只关注三四层数据，无法检测应用层，则无法充分的识别安全风险

        2，需要逐包匹配检测，则效率较低。可能会成为网络的瓶颈。

        路由器解决转发效率低是这样：路由器解决包转发太慢的办法是：首包检测，只有第一个包进行查询路由表，后面的包都不需要；其他路由器也是一样，只有首包需要进行查询路由表，后面的按着转发就行；

2、应用代理防火墙---（每个应用都要添加代理）

缺点：

        1，效率变低  

        2，可伸缩性变差：每一种应用都需要开发对应的代理功能，否则无法代理

3、状态检测防火墙---首次检查建立会话表

优点：有会话表技术

        会话表技术：说白了就是首包检测，后面的包就不必须要检测了，直接对着会话表看就行，表上是允许就允许；通过5元组进行一个数据流的识别（五元组相同就是同一个数据流）

4、入侵检测系统IDS    ---网络摄像头，检测已知威胁

IDS可以发现安全风险，可以记录，分析以及反馈，但是，并不会直接处理或者消除风险 --- 一种侧重于风险管理的安全设备 --- 存在一定的滞后性

5、入侵防御系统IPS   ---抵御已知威胁，侧重于风险控制的安全设备

IPS和IDS是针对具有威胁的许多行为，如暴力破解，而不是针对含有木马的文件，它是一种控制的病毒

6、防病毒网关  --AV  ---针对的是病毒的文件

        IPS和IDS是针对行为方面的；AV是针对含有病毒的文件，威胁的文件

7、Web应用防火墙（WAF）---专门用于保护Web应用

8、统一威胁管理（UTM）---多合一安全网关：串联部署

每个安全设备都有一个安全侧重点，如IDS是对内网里面的数据进行一个监控，而IPS主要是对检查出来的威胁进行一个处理，所以每个安全系统的侧重点都不相同；

UTM就是对FW,IDS,IPS,AV,WAF 这些安全系统进行了一个单纯简单的总和；(但是不具有web应用的防护功能)

UTM：把多个功能进行集中串联，所以他是具备着大多数的防御设备的功能，但是因为是串联的，所以还是需要层层筛选；

9、下一代防火墙(NGFW) ---升级版的UTM

功能基本都同 UTM统一威胁管理一样，最重要的是UTM是串行连接，NGFW是并行连接

升级点：并行连接，只检测一次，将检测出来的值供给所有功能用；

二、防火墙其他功能

1、访问控制，对进来或出去的数据流量进行一个目标访问控制，当目标网站是爱奇艺时直接禁止掉；

2、地址转换：通常都是在防火墙上面进行NAT地址转换

3、网络环境支持：支持多种网络环境，适应多种网络环境

4、带宽管理：内外网的数据交换都是要通过防火墙的，所以可以对内网与外网的胡数据交换量进行控制，俗称带块管理

5、入侵检测和攻击防御：对进来的数据流量进行一个威胁检测和防御

6、用户认证：防火墙服务器可被用户登录认证

7、高可用性：NGFW防护墙是集合多个功能为一身的，且适用场合很多；几乎所有要访问公网的设备都需要NGFW防火墙

三、防火墙的组网

1、防火墙的管理方式

        带内管理：通过网络对设备进行远程管理  如：telnet，SSH,web，SNMP(这个是一次连接多个设备进行同时操作多个设备)

        带外管理：console，MINI USB；不是通过远程连接，而是通过物理线连接进行管理

2、防火墙等级

3、防火墙管理员

本地认证 --- 用户密码信息存储在防火墙本地，有防火墙判断是否通过认证

服务器认证 --- 对接第三方服务器，用户信息存储在第三方服务器上，由防火墙将用户信息推 送给服务器，由服务器进行判断，并返回结果，防火墙做出登录与否的操作。

服务器/本地认证 --- 正常情况使用服务器认证，如果服务器认证失败，则直接认证失败，不 进行本地认证，只有在服务器对接失败的时候，才采取本地认证。

4、防火墙接口

三层接口：可以配置IP地址的接口

二层接口：

        普通二层接口

        接口对---“透明网线”：可以讲一个或两个接口配置成一个接口进，将不需要查看MAC地址表，直接从另一个接口处；可以进行拦截流量

        旁路检测接口：知识检查流量，但是不能拦截

        虚拟接口：环回接口、子接口、Vlanif、Tunnel、链路聚合

        虚拟系统--VRF：互通使用的接口，每创建一个虚拟系统，将自动生成一个虚拟接口，仅需要配置IP地址即可 

5、防火墙安全区域

Trust---信任区域

Untrust--非信任区域

Local--防火墙上所有的接口都属于这个区域

将一个接口划入某一个区域，则代表将这个接口所连接的网络划分到对应区域中，而接口本身，永远属于local区域

Dmz：非军事化管理区域：放置一些对外开放的服务器

优先级：

1---100：从优先级高的区域到优先级低的区域是出方向（outbound）

                从优先级低的区域到优先级高的区域是入方向（inbound）

6、防火墙模式

        1、路由模式:

                1，接口IP地址，区域划分

                2，写内网的回报路由

                3，安全策略

                4，内到外的NAT

                5，服务器映射

        2、透明模式

                1，接口配置VLAN，以及划分区域

                2，安全策略                 

                3，增加设备的管理接口，用于控制管理设备以及设备的自我升级

        3、旁路检测模式

        4、混合模式