本期主题：防火墙基础技术，你造吗？！

……

一、内容概述

防火墙的定义和分类

防火墙的主要功能和技术

防火墙设备管理的方法

二、防火墙概述

防火墙可以实现逻辑隔离但不能物理隔离

防火墙的功能是通过安全策略实现的

防火墙可以防病毒、防入侵、防木马、防攻击，但就是不防火

防火墙的应用

企业内网管控隔离、互联网边界防护、企业分支互联、数据中心隔离等

防火墙的本质

路由器与交换机的本质是转发，防火墙的本质是控制

防火墙的发展历程

防火墙的主要技术：包过滤、代理、状态检测，现在最常见的防火墙为状态检测防火墙，代理防火墙衍生出一个新设备——网闸。

防火墙特征

逻辑区域过滤器、隐藏内网网络结构、自身安全保障、主动防御攻击

防火墙分类

按照形态分为：硬件防火墙、软件防火墙

按照保护对象分为：单机防火墙、网络防火墙

按照访问控制分为：包过滤防火墙、代理防火墙、状态检测防火墙

包过滤防火墙：

包过滤是指在网络层对每一个数据包进行检查，根据配置的安全策略转发或丢弃数据包

包过滤防火墙的基本原理是，通过配置访问控制列表（ACL）实施数据包的过滤，主要基于数据包中的五元组，即源目IP源目端口和协议

包过滤防火墙的缺点：

因为是逐包过滤，随着ACL复杂程度和长度的增加，过滤性能呈指数下降

静态ACL规则难以适应动态的安全需求

因为包过滤主要基于五元组，未对会话状态和数据进行检查和分析，容易被绕过

无法适应多通道协议，如FTP协议

代理防火墙：

代理服务作用于网络的应用层，代理防火墙其实就是将内部用户于外部服务彻底隔离开，通过自身进行数据转发

防火墙收到来自用户的请求，通过安全策略检查后，防火墙主动与内部服务器建立连接，转发外部用户的请求，并将真正服务器返回的数据响应送回外部用户

在这里防火墙相当于一个中间人，类似于校园的保安，外面的外卖送给保安，保安在送给学生这样的过程，在整个通信过程中，外部其实与内部没有真正意义上的建立连接，而是内外部都与防火墙建立连接，由防火墙转发数据

代理防火墙的缺点：

处理速度慢，容易收到DOS或者DDOS攻击

需要针对每一种协议开发应用层代理，开发周期长，升级困难

所以除了重要的如财务等部门需要部署代理技术的网闸以外，代理防火墙已经被彻底淘汰

状态检测防火墙：

目前主要使用的防火墙

状态检测防火墙是包过滤技术的扩展，也是基于包过滤技术实现的，但与包过滤防火墙不同，状态检测防火墙考虑前后报文的历史相关性，当检测到第一个数据包符合安全策略后，该数据包的后续数据包都直接转发放行

状态检测防火墙在网络层截获数据包，然后从各应用层提取出安全策略所需要的状态信息，并保存到会话表中，通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。

状态检测防火墙的优点：

只对首包进行ACL检测，后续包无需再进行ACL检查，只根据会话表决定丢弃还是转发，如果转发则刷新会话表（老化时间），并且可以采用二叉树或哈希等算法进行快速搜索，提高了传输效率

安全性较高：连接状态清单是动态管理的。会话完成后防火墙上所创建的临时返回报文入口随即关闭，保障了内部网络的实时安全。同时，状态检测防火墙采用实时连接状态监控技术，通过在会话表中识别诸如应答响应等连接状态因素，增强了系统的安全性。