防火墙jcsu

一种高级访问控制设备，置于不同网络安全域之间的一系列部件的组合，它是不同网络安全域间通信流的唯一通道，能根据企业有关的安全政策控制（允许、拒绝、监视、记录）进出网络的访问行为。

二、防火墙的作用

三、防火墙与OSI

四、防火墙历史

1、包过滤防火墙

也叫分组过滤防火墙。根据分组包的源、目的地址，端口号及协议类型、标志位确定是否允许分组包通过。

【优点】●高效、透明

【缺点】●不能防范部分的黑客IP欺骗类攻击●不能跟踪TCP连接的状态●不支持应用层协议●对管理员要求高

【判断依据】

●数据包协议类型：TCP、UDP、ICMP、IGMP等●源、目的IP地址●源、目的端口：FTP、HTTP、DNS等●IP选项：源路由选项等●TCP选项：SYN、ACK、FIN、RST等●其它协议选项：ICMPECHO、ICMPECHOREPLY等●数据包流向：in或out●数据包流经网络接口：eth0、eth1

包过滤防火墙应用实例：

2、应用网关防火墙

也叫应用代理防火墙。每个代理需要一个不同的应用进程，或一个后台运行的服务程序；对每个新的应用必须添加针对此应用的服务程序，否则不能使用该服务。

【优点】●安全性高

●提供应用层的安全

●可以检查应用层、传输层和网络层的协议特征，对数据包的检测能力比较强

【缺点】●性能差●伸缩性差●只支持有限的应用●不透明

●难于配置●处理速度较慢

一个Telnet代理的例子：

3、状态检测防火墙

状态检测防火墙处理示意图：

【缺点】●对应用层检测不够深入

4、传统火墙的弱点

传统的包过滤和状态检测防火墙弱点如下：●没有深度包检测来发现恶意代码●不进行包重组●恶意程序可以通过信任端口建立隧道穿过去●传统的部署方法仅仅是网络边缘，不能防御内部攻击分组过

5、深度检测防火墙

●深度检测技术深入检查通过防火墙的每个数据包及其应用载荷●以基于指纹匹配、启发式技术、异常检测以及统计学分析等技术的规则集，决定如何处理数据包●可以更有效的辨识和防护缓冲区溢出攻击、拒绝服务攻击、各种欺骗性技术以及蠕虫病毒

6、复合型防火墙

五、防火墙的分类

按照操作对象●主机防火墙●网络防火墙

按照实现方式●软件防火墙●硬件防火墙

按照过滤和检测方式●包过滤防火墙●状态防火墙●应用网关防火墙●地址转换防火墙●透明防火墙●混合防火墙

六、防火墙的安全规则配置

七、防火墙的5大性能指标

1、定义：在不丢包的情况下能够达到的最大每秒包转发数量2、衡量标准：吞吐量作为衡量防火墙性能的重要指标之一,吞吐量小就会造成网络新的瓶颈，以至影响到整个网络的性能

●丢包率：通过防火墙传送时所丢失数据包数量占所发送数据包的比率

1、定义：在连续负载的情况下，防火墙设备由于资源不足应转发但却未转发的帧百分比2、衡量标准：防火墙的丢包率对其稳定性、可靠性有很大的影响

●并发连接数：防火墙能够同时处理的点对点连接的最大数目

1、定义：指穿越防火墙的主机之间,或主机与防火墙之间，能同时建立的最大连接数。2、衡量标准：并发连接数的测试主要用来测试防火墙建立和维持TCP连接的性能，同时也能通过并发连接数的大小体现防火墙对来自于客户端的TCP连接请求的响应能力

●新建连接数：在不丢包的情况下每秒可以建立的最大连接数

八、防火墙区域

防火墙拓扑位置●专用（内部）和公共（外部）网络之间●网络的出口和入口处●专用网络内部：关键的网段，如数据中心

防火墙区域●Trust（内部）●Untrust（外部，Internet）●DMZ（DemilitarizedZone，非武装军事区）

九、防火墙的应用

【标准应用】

1、透明模式/桥模式

●一般用于用户网络已经建设完毕，网络功能基本已经实现的情况下●加装防火墙以实现安全区域隔离的要求一般将网络分为内部网、DMZ区和外部网

2、路由/NAT模式

●一般用于防火墙需要提供路由和NAT功能以便连接上网的情况下●同时提供安全过滤功能一般将网络分为内部网、DMZ区和外部网

3、混合模式

实际应用中，一般网络情况为透明模式和路由模式的混合

【高级应用】

1、双机热备

2、多VLAN支持

3、动态路由协议

4、VPN

十、防火墙的局限性

●不能防范不经过防火墙的攻击●对新出现的漏洞和攻击方式不能迅速提供有效的防御方法●紧急情况下无法做到迅速响应●无法防止内部的攻击●不能关闭需提供对外服务的端口●无法防止利用TCP/IP等协议漏洞的攻击●不能防止受病毒感染文件的传输●防火墙自身也可能存在安全漏洞

十一、统一威胁管理UTM

什么是UTM

●指由硬件、软件和网络技术组成的具有专门用途的设备●主要提供一项或多项安全功能，将多种安全特性集成于一个硬设备里，构成一个标准的统一管理平台

功能模块

防火墙、IPS、防病毒网关、VPN网关、内容过滤、抗拒绝服务攻击（Anti-DoS）、内容过滤、反垃圾邮件等

启明星辰天清汉马USG一体化安全网关：

十二、产品介绍－天清汉马防火墙的功能特点

2、多样化的应用过滤●基于屏蔽列表、免屏蔽列表、关键字技术的Web过滤功能，同时提供JavaApplet、Cookie、Script和Object的内容过滤功能●基于黑名单、白名单、邮件主题、附件名称、邮件大小和SMTP命令的邮件过滤功能

3、安全丰富的VPN使组网变得简单●多VPN支持：GRE、IPSec、L2TP、SSLVPN●丰富的应用：专用的VPN客户端、USBKEY、动态口令卡、图形认证码●灵活的部署：Hub-Spoken、Full-Mesh、DVPN/网关—网关的SSLVPN

6、方便的集中管理功能●通过集中管理与数据分析中心实现对多台设备的统一管理、实时监控、集中升级和拓扑展示

十三、NAT、路由、访问策略

在NAT中，假如最大端口数不是65535，而是2，下图中的问号“？”应该是多少呢？

由于“内网源地址+内网源端口”条目（此处称内网条目）肯定是唯一的，此时NAT端口无论填写1还是2，数据包在返回到本设备时，都无法找到对应的内网条目。怎么办？

我们把内网条目看成一条信息，称为源信息，由于内网条目都是唯一的，可以说源信息的信息量是很大的，把“NAT地址+NAT端口”看成目的信息，可以看出目的信息的信息量很小。源信息（此处称为信息A）在转换成目的信息（此处称为信息B）后，由于信息量不对等，会出现信息丢失，所以信息B就转换不回信息A了。

为了解决这个问题，可以增加B信息的信息量，即加一个因素，只要因素本身的信息量大，无疑就会加大信息A转换回信息B的可能性了；如果不行，信息B中可以再增加一个信息因素，这样就使得B信息的信息量增加，与信息A的信息量越来越接近，提高信息B转换回信息A的可行性。

这里我们将利用数据包中的目的地址这个信息因子，B信息将变成“NAT地址+NAT端口+目的地址”，如下图所示：

本例中，内网地址在做映射的时候，NAT端口号究竟填1还是2才能使数据包在回来时找到相应的内网条目呢？

为了使信息量尽可能对等，需要研究各信息因素的特点和规律，以及各因素组合后的规律。

具体请参考《华为防火墙NAT地址复用技术》

地址的双向转换情况（天融信：内网通过公网访问内网服务器时）