防火墙

防火墙

基本概念

定义：一款具备安全防护功能的网络设备

作用：在三、四层隔离网络

路由器：配置好后默认路由所有条目，通过ACL表控制流量通过。

防火墙：配置好后修改成所有流量被禁止通过，写放行策略。

基本功能

访问控制（策略）

攻击防护（主要三四层，五层次要）

冗余设计（HA）（类似路由器的vrrp，热备份）

路由、交换

日志记录

虚拟专网VPN

NAT

区域隔离

防火墙将不同区域进行隔离。

内部区域（Trust区域）

DMZ区域：称为“隔离区”，也称“停火区”

外部区域（Untrust区域）

trust区域一般被防火墙放行访问DMZ和untrust区域

DMZ区域一般被防火墙放行访问untrust区域（不要放行访问trust区域）

untrust区域无法主动访问trust和DMZ区域，除非写了策略

防火墙分类

按防火墙形态分类

• 软件防火墙（一般保护个人）

• 硬件防火墙（保护多人）

按技术实现分类

1、包过滤防火墙（已淘汰）

功能简单（基于三层）、配置复杂

2、应用（代理）防火墙（已淘汰）

优：安全性高

缺：连接效率低、速度慢

原理：防火墙来维持内部区域与外部区域的会话，相当于内部的人与防火墙会话，防火墙与外部的人进行会话，从而隐藏内部人的IP地址（但现在有NAT，不需要）。

3、状态检测防火墙

可能现在主流防火墙

思科过程（内-->外&&外-->内）顺序：状态匹配-->策略-->路由

tips：状态匹配正确后直接转发，无需匹配策略和路由表。

untrust区域的人回包时，先进行状态匹配成功，会直接转发给人，而不会被策略给过滤。

4、应用层防火墙

WAF：web应用防火墙

IPS：入侵防御系统：禁止可疑流量通行

IDS：入侵检测系统：记录可疑流量，但会允许通行

搭配：边界安置防火墙，DMZ区域前或者服务器前放置应用层防火墙。

衡量防火墙性能的5大指标
1、吞吐量：在不丢包的情况下单位时间内通过的数据包数量

2、时延：数据包第一个比特进入防火墙到最后一个比特从防火墙输出的时间间隔

3、丢包率：通过防火墙传送时所丢失的数据包数量占所发送数据包的比率

4、并发连接数：防火墙能够同时处理的点到点连接的最大数目

5、新建连接数：在不丢包的情况下每秒可以建立的最大连接数

工作模式

透明模式

：将端口设置成二层端口，不影响网络架构（全为二层端口，无IP地址，类似连接了一台交换机）

一般用于用户网络已经建设完毕，网络功能基本已经实现的情况下，用户需要加装防火墙以实现安全区域隔离的需求

路由模式

：将端口设置成三层端口（全为三层端口，具有IP 地址，类似连接一个路由器）

一般用于防火墙当作路由器和NAT设备连接上网的同时,提供安全过滤功能

混杂模式

透明和路由模式混合版

：既有三层端口，又有二层端口

三层端口启动VRRP功能，用于双机热备份，二层端口连接trust区域，进行透明转发。

HA

高可用性（HA）：通过双机热备份实现

主防火墙与备份防火墙需一样的配置，备份防火墙端口都逻辑down

心跳线

防火墙有心跳线连接，中间那条（10.1.1.1--10.1.1.2）

作用：

1. 通过心跳线进行交流，确认主防火墙，并检测对方状态。
2. 同步数据：

• 静态数据：人工配置的一些信息（端口，地址，VPN，NAT等），应该是手动点击同步数据，然后通过心跳线让备份防火墙学习到。

• 动态数据：防火墙会话状态表的数据（上面状态检测防火墙提到）会被动态通过心跳线同步到备份防火墙，使得主防火墙不行时，备份防火墙能成功接收已经发出去的数据。