防火墙知识点总结

一、是什么

定义：不同区域，安全策略的一台硬件设备

二、为什么要用

作用：保护内网终端、服务器和一些通信设备的安全

三、怎么用（工作原理）

分类：传统防火墙、下一代防火墙

1、传统防火墙

①包过滤

工作层次：3/4层

原理：类似于路由交换的ACL，路由交换基于端口in/out，防火墙基于区域与区域之间（默认任何区域deny）

优缺点：只检测3，4层，处理速度快，开销小，但应用层威胁无法防御或检测，无会画状态跟踪

②状态监测

工作层次：3/4/5层

原理：对通过防火墙的数据记录会话的状态（会话/状态表），用于判断是否为首发流量还是返回流量？用于判断是否允许通过防火墙（已有状态流量可以放行，否则需要包过滤手工放通）

优缺点：知晓会话状态，可以安全通信（随着通信结束关闭通道）；但应用层威胁无法防御或检测

③应用代理

工作层次：3/4/5/7层

原理：用户认证，应用层检测（有限，url，关键字）

优缺点：有应用层防护但有限，更多形式的应用威胁：病毒、信息泄漏、入侵、木马等等没有防护能力（无DPI和特征库）

2、下一代防火墙

①包含传统防火墙

②增强的应用控制：DPI技术（深度包检测）和应用特征库

③ 入侵防御：IDS/IP技术

定义 ：

IDS即人侵检测系统，对网络、系统的运行状况进行监视，尽可能发现各种攻击企图、政击行为或者攻击结果。

IPS：即人侵防御系统，可对网络、系统的运行 状况进行监视，并可发现阻止各种攻击企图、攻击行为。

原理：深度检测数据包内容与入侵特征库匹配，匹配了代表是一种入侵行为：暴力破解、漏洞利用、木马链接、僵尸网络、后门、蠕虫（中了恶意代码之后的通信行为）等等

区别：

④恶意代码检测：AV技术

定义：网关杀毒即防毒墙，需要病毒特征库，实时更新

原理：代理扫描（文件压缩）和流扫描（文件未压缩）

⑤信息泄漏：AC技术

⑥web防护：WAF技术

定义：web应用防火墙

原理：web攻击特征库检测用户访问web过程中是否违背规则

四、应用场景

互联网公网出口、数据中心、分支与总部广域网边界

应用模式

①透明/网桥模式

原理：基于二层转发原理，安全策略照样有

优缺点：串联到网络中，不改变原有网络拓扑，不破坏三层地址和路由协议等等，工作量小，出问题风险小，但功能较路由模式少

②路由模式

原理：替换原有的路由器或旧防火墙

优缺点：改变原有网络拓扑，工作量大，出问题风险大，但功能最完善

③混合模式

原理：既有透明又有路由

优点：只需一台设备，成本低，既能满足内网做路由模式，又能满足DMZ区服务器透明模式，提高转发效率