路由器與交換機(jī)的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制和防護(hù)。

防火墻的工作原理是通過設(shè)置安全策略，來進(jìn)行安全防護(hù)。

定義——防火墻是部署在網(wǎng)絡(luò)出口處/服務(wù)器區(qū)(數(shù)據(jù)中心）/廣域網(wǎng)接入，用于防止外界黑客攻擊/保護(hù)內(nèi)部網(wǎng)絡(luò)安全性的安全硬件。

一、傳統(tǒng)防火墻：------工作于 應(yīng)用層以下

傳統(tǒng)防火墻的類型

1.包過濾（包過濾防火墻）

工作層次——3/4層（七層模型）

工作原理——手工，類似ACL控制數(shù)據(jù)包，五元組，實(shí)現(xiàn)單向訪問

優(yōu)點(diǎn)——①僅處理3/4層，簡單快捷。

缺點(diǎn)——①ACL多且復(fù)雜，手工配置，不能隨需求自動修改；

②不能識別通信狀態(tài)進(jìn)行控制；

③不能防范應(yīng)用層攻擊；

④是默認(rèn)策略，沒有明顯允許就是禁止。

2.狀態(tài)檢測技術(shù)（狀態(tài)防火墻）

工作層次——3/4/5層

工作原理——維持會話表通信狀態(tài)。會話表包括五個元素（源目的IP，源目的端口，協(xié)議號）

優(yōu)點(diǎn)——①可以識別會話狀態(tài)控制通信；

②能動態(tài)生成放通回程報文的策略。

缺點(diǎn)——不能防范應(yīng)用層攻擊、應(yīng)用data不能檢測、對FTP等多連接應(yīng)用兼容性差。

3.應(yīng)用代理技術(shù)ALG（應(yīng)用代理防火墻）

工作層次——3/4/5/7層

工作原理——應(yīng)用數(shù)據(jù)data檢查:動態(tài)協(xié)商的端口、URL、 ftp操作指令、http請 求方法等,允許動態(tài)通道(端口都是隨機(jī)動態(tài)協(xié)商的,如FTP )的數(shù)據(jù)進(jìn)入防火墻。

優(yōu)點(diǎn)——可以檢測應(yīng)用層數(shù)據(jù),防范簡單的應(yīng)用層攻擊；

缺點(diǎn)——軟件處理,消耗資源。

傳統(tǒng)防火墻的工作模式

透明/網(wǎng)橋模式——防火墻相當(dāng)于二層交換機(jī)，無需配置IP地址；

路由模式——防火墻具有三層功能，需要配置IP地址，可以做NAT；

混合模式——根據(jù)需求，可以同時以透明模式和路由模式工作。

二、下一代防火墻-------工作于L2-7層

下一代防火墻的功能：

包括傳統(tǒng)防火墻的基本防護(hù)功能（包過濾、狀態(tài)檢測、應(yīng)用代理）

增強(qiáng)應(yīng)用識別與控制（深度內(nèi)容識別，即DPI技術(shù)）:將數(shù)據(jù)中的應(yīng)用層特征與本地的應(yīng)用特征庫進(jìn)行匹配（應(yīng)用特征庫會定期更新）

web攻擊防護(hù):將數(shù)據(jù)中的URL地址與本地的URL庫進(jìn)行匹配（URL庫會定期更新）

信息泄露防護(hù)

惡意代碼防護(hù)：將數(shù)據(jù)的特征與本地的病毒庫進(jìn)行匹配（病毒庫會定期更新）

入侵防御：將數(shù)據(jù)流的特征與本地的IPS入侵檢測庫進(jìn)行匹配（IPS入侵檢測庫會定期更新）

下一代防火墻的工作模式：

透明/網(wǎng)橋模式

路由模式

混合模式

旁路模式——通過數(shù)據(jù)鏡像，僅對流量進(jìn)行統(tǒng)計、掃描或者記錄，并不對流量進(jìn)行轉(zhuǎn)發(fā)。

審核編輯：劉清