防火墙技术详解：从基本概念到实际应用

防火墙技术详解：从基本概念到实际应用

引用

CSDN

1.

https://m.blog.csdn.net/LYH8543/article/details/145810451

一、防火墙概述

1.什么是防火墙

防火墙是一款具有安全防护功能的网络设备。其主要作用是访问控制，隔离网络，将需要保护的网络与不可信任的网络进行隔离，隐藏数据信息并做安全防护。

路由器虽然也能隔离网络，但其隔离的是广播域或者网段，而不是网络。IP 配置好，路由配置好即可全网互通，路由器默认没有任何限制。而防火墙将网络分为可信任的区域和不可信任的区域，并且把可信任区域和不可信任区域分隔开。即使IP 配置好，路由配置好，也不能全网互通，默认情况下就会有限制。

路由器和防火墙的主要区别在于：路由器是3 层设备，防火墙是4/5 层设备。防火墙具有路由转发的功能，并且还能做区域隔离和访问控制策略，比路由器更贵。路由器做访问控制叫ACL，防火墙的叫访问策略。路由器ACL 写的是限制规则，防火墙访问策略写的是放行规则。

防火墙的主要目的是做区域隔离和访问控制策略，虽然现在防火墙往往带上了检测木马和病毒的功能，但其本职工作并不是杀毒杀木马。

2.防火墙的基本功能

• 访问控制策略
• 攻击防护
• 冗余设计
• 路由交换
• 日志记录
• 虚拟专网VPN
• NAT
• ...

防火墙包含了路由器的功能，但是路由的这些功能并不是主要功能。

3.区域隔离

防火墙将网络划分成三个区域：

所有区域间想要互相访问都要经过防火墙。

2.区域访问规则

对比路由器上写的ACL，防火墙不认接口的in 或out 方向，他认源区域和目标区域。

防火墙放行规则（默认情况下）：

4.防火墙分类

1. 软件防火墙：安装在操作系统上的安全防护软件，如腾讯安全管家、360 安全卫士、Windows Defender、iptables等。
2. 硬件防火墙：如H3C等。
3. 包过滤防火墙：最早的防火墙技术之一，功能简单，配置复杂，检查报文基于源IP，目标IP，源端口，目标端口号和协议进行策略，不能识别回包，已经基本淘汰。
4. 应用代理防火墙：最早的防火墙技术之二，安全性高，连接效率低，伸缩性差（udp 的代理不了）速度慢，配置复杂、工作在5 层。应用代理防火墙会代理通讯双方的身份，维护两个会话，大大影响了效率。
5. 转态检测防火墙：现代主流的防火墙，速度快效率高，功能强，配置方便。状态检测检查预先设置的安全规则，允许符合规则的连接通过，并在内存中记录下该连接的相关信息，生成状态表。对该连接的后续数据包，只要符合状态表，就可以通过，不需要在匹配规则。能检测回包。当外部区域给内部区域回包的时候，同样需要先过状态表，如果状态表匹配成功即可证明这个包是回包，不需要过策略表，直接转发。
6. WAF：只适合部署在Web 服务器外围，为Web 流量做检查。
7. 应用层防火墙：应用层防火墙是一个发展趋势，各大厂商都在宣扬自己是应用层防火墙，但是目前效果有限。如果相对应用层做检测，建议使用IDS、IPS、态势感知等设备

5.防火墙性能指标

二、防火墙的应用

1.部署方式

1. 透明模式：桥模式，交换模式，防火墙相当于交换机。防火墙将网络划分为3 个区域，outside、inside、DMZ，并且3 个区域都在一个网段。防火墙物理端口是2 层，但是内部可以工作在2 层以上，所以说防火墙端口在几层并不影响做区域隔离，并且可以内部给虚拟口配置IP 达到远程网管的目的。一般用于客户网络已经建设完毕，网络功能已经基本实现，客户想要后加防火墙设备，并且不想影响现有稳定的网络环境的情况。

2. 路由模式：NAT 模式，网关模式，Gateway。防火墙将网络划分为3 个区域，outside、inside、DMZ，可以把防火墙当作路由器来使用。SNAT 相当于在路由器上做PAT。内网员工想要上网要获取一个公网的IP 身份，由于员工PC 是初始流量的源，那么员工PC 可以称为源设备（source），防火墙对源设备做NAT 地址转换就被称为SNAT。DNAT 相当于在路由器上做静态端口地址映射。外网PC 想要访问公司内部的服务器，公司内部服务器要有一个公网的身份，由于内网中的服务器是初始流量的目的，那么内网服务器可以称为目标设备（destination），防火墙对目的设备做NAT 地址转换称为DNAT。在路由模式下防火墙接口为3 层端口，防火墙开启路由功能，对公司原有架构产生改变。

3. 混合模式：透明模式和路由模式的结合体。指防火墙部分网口在路由模式下工作，部分网口在透明桥模式下工作。应用场景较少。