防火墻

基本概覽

是一款具備安全防護(hù)功能的網(wǎng)絡(luò)設(shè)備

防火墻技術(shù)主要是通過(guò)有機(jī)結(jié)合各類用于安全管理于篩選的軟件或硬件設(shè)備，體現(xiàn)形式采用規(guī)則的方式，從而幫助計(jì)算機(jī)網(wǎng)絡(luò)于其內(nèi)、外網(wǎng)之間構(gòu)建一道相對(duì)隔絕的保護(hù)屏障

隔離網(wǎng)絡(luò)：

將需 要保護(hù)的網(wǎng)絡(luò)與不可信任網(wǎng)絡(luò)進(jìn)行隔離，隱藏信息并進(jìn)行安全防護(hù)xia

一般情況下將防火墻放在區(qū)域的邊界，從而來(lái)保護(hù)整個(gè)區(qū)域的安全性

防火墻的基本功能

訪問(wèn)控制（ACL）

攻擊防護(hù)

冗余設(shè)計(jì)（HSRP）

路由、交換

日志記錄

虛擬專用網(wǎng)絡(luò)

NAT

帶寬管理（Qos、服務(wù)訪問(wèn)質(zhì)量（流量管理），主要的目的，針對(duì)不同業(yè)務(wù)分配對(duì)應(yīng)帶寬，從而保障關(guān)鍵性業(yè)務(wù)帶寬）

入侵防御（入侵檢測(cè)和防御）

用戶認(rèn)證

高可用

區(qū)域隔離

防火墻區(qū)域概念

內(nèi)部區(qū)域（員工，核心數(shù)據(jù)）

DMZ區(qū)域稱為“隔離區(qū)”，也稱“非軍事化區(qū)/停火區(qū)”（對(duì)外服務(wù)：網(wǎng)頁(yè)，郵件服務(wù)器）

外部區(qū)域

一般來(lái)說(shuō)：

????????內(nèi)部區(qū)域

????????????????內(nèi)部區(qū)域能訪問(wèn)外部區(qū)域（互聯(lián)網(wǎng)）

????????????????內(nèi)部區(qū)域能訪問(wèn)DMZ區(qū)域。

????????DMZ區(qū)域

? ? ? ? ? ? ? ? 能讓特點(diǎn)的ip地址的端口號(hào)（如80）被外部區(qū)域訪問(wèn)

所以

? ? ? ? 黑客能夠通過(guò)80端口號(hào)的漏洞，控制網(wǎng)頁(yè)服務(wù)器，進(jìn)而控制DMZ區(qū)域，但由于防火墻限制，無(wú)法攻擊到內(nèi)部區(qū)域

防火墻的分類

按防火墻形態(tài)

? ? ? ? 1.軟件防火墻（Windows defender? ?Linux iptables Linux firewalld）

? ? ? ? 2.硬件防火墻（Cisco 華為USG ASA 啟明星辰（天清漢馬） 深信服（AF） 安恒（明御安全網(wǎng)關(guān)））

按技術(shù)實(shí)現(xiàn)

? ? ? ? 1.包過(guò)濾防火墻

? ? ? ? 2.狀態(tài)檢測(cè)包過(guò)濾防火墻

? ? ? ? 3.應(yīng)用（代理）防火墻

? ? ? ? 4.WAF防火墻

? ? ? ? 5.應(yīng)用層防火墻

性能劃分：百兆級(jí)、千兆級(jí)

結(jié)構(gòu)劃分：單一主機(jī)、路由集成、分布式

防火墻的發(fā)展歷史

1.包過(guò)濾防火墻

? ? ? ? 判斷信息：五元組（通常是指由源IP地址，源端口，目的IP地址，目的端口，和? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ? ??傳輸層協(xié)議號(hào)這五個(gè)量組成的一個(gè)集合）

????????工作范圍：3-4層

最早的防火墻技術(shù)之一，功能簡(jiǎn)單，配置復(fù)雜

2.應(yīng)用網(wǎng)關(guān)/應(yīng)用代理防火墻

????????判斷信息：應(yīng)用層數(shù)據(jù)（http、ftp......）

? ? ? ? 工作范圍：7層（應(yīng)用層）

最早的防火墻技術(shù)之二，連接效率低，速度慢

3.狀態(tài)檢測(cè)防火墻

現(xiàn)代主流防火墻，速度快，配置方便，功能較多

????????判斷信息：IP地址、端口號(hào)、TCP標(biāo)記

? ? ? ? 工作范圍：2-4層

4.web應(yīng)用防火墻（WAF防火墻）

????????判斷信息：http協(xié)議數(shù)據(jù)（request、response）

? ? ? ? 工作范圍：7層（應(yīng)用層）

5.多合一網(wǎng)關(guān)

? ? ? ? FW（防火墻）、IDS（入侵檢測(cè)）、IPS（入侵防御）、AV（防病毒）

? ? ? ? 工作范圍：2-7層

6.下一代防火墻（NGFW）

????????? FW（防火墻）、IDS（入侵檢測(cè)）、IPS（入侵防御）、AV（防病毒）、WAF

????????工作范圍：2-7層

????????NGFW是并行處理機(jī)制，會(huì)更高效

衡量防火墻性能的5大指標(biāo)

1、吞吐量：在不丟包的情況下單位時(shí)間內(nèi)通過(guò)的數(shù)據(jù)包的數(shù)量

2、時(shí)延：數(shù)據(jù)包第一個(gè)比特進(jìn)入防火墻到最后一比特從防火墻輸出的時(shí)間間隔

3、丟包率：通過(guò)防火墻傳送時(shí)所丟失數(shù)據(jù)包數(shù)量占所發(fā)送數(shù)據(jù)包的比率

4、并發(fā)連接數(shù)：防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目

5、新建連接數(shù)：在不丟包的情況下每秒可以建立的最大連接數(shù)

Windows defender的使用

添加DHCP入站規(guī)則

圖形化：

1.打開(kāi)高級(jí)設(shè)置

?2.選擇入站規(guī)則——點(diǎn)擊右側(cè)新建規(guī)則

?3.選擇自定義規(guī)則

?4.根據(jù)自身需求選擇，我此處選擇所有程序

5.選擇ICMPv4

?6.指定要應(yīng)用此規(guī)則的本地和遠(yuǎn)程IP地址

防火墻的

7.允許連接

8.全選

?

?9.填寫名稱——完成

命令操作：

netsh advfirewall firewall

netsh advfirewall firewall add rule name="icmp" dir=in remoteip=192.168.0.2 protocol=icmpv4 action=allow

典型應(yīng)用

標(biāo)準(zhǔn)應(yīng)用

1、透明模式

透明模式/橋模式一般用于用戶網(wǎng)絡(luò)已經(jīng)建設(shè)完畢，網(wǎng)絡(luò)功能基本已經(jīng)實(shí)現(xiàn)的情況下，用戶需要加裝防火墻以實(shí)現(xiàn)安全區(qū)域隔離的要求

2、路由模式

3、混雜模式

一般網(wǎng)絡(luò)情況為透明模式和路由模式混合

實(shí)驗(yàn)：驗(yàn)證區(qū)域隔離及策略編寫

1.PC配置IP和網(wǎng)關(guān)

2.防火墻：創(chuàng)建區(qū)域--》接口加入到區(qū)域

3.接口配置IP、配置路由（本實(shí)驗(yàn)不需要配置）

4.寫策略并驗(yàn)證

5.配置nat，源轉(zhuǎn)換SNAT和目標(biāo)轉(zhuǎn)換DNAT

HA

類似路由器的熱備份

?????????

?兩個(gè)防火墻相連的線稱為心跳線，用于查看對(duì)方狀態(tài)，同步兩個(gè)防火墻的配置

兩個(gè)防火墻的IP地址一致，其中一個(gè)防火墻除了連接心跳線的端口其他全部down掉

Cisco防火墻

ASA系列

1.防火墻的工作原理（狀態(tài)化防火墻）

2.在防火墻上配置ACL（大多都是命名ACL）

3.在防火墻上配置NAT（防火墻設(shè)備一般放在局域網(wǎng)的出口）

工作原理

1.系列

ASA5500系列

2.ASA防火墻狀態(tài)化防火墻

里面維護(hù)一張表：狀態(tài)化鏈接表（conn表）

? ? ? ? 源IP地址

? ? ? ? 目標(biāo)IP地址

? ? ? ? IP協(xié)議（TCP/UDP）

? ? ? ? IP協(xié)議信息（端口號(hào)、序列號(hào)、控制位）

默認(rèn)情況下，ASA對(duì)TCP和UDP協(xié)議提供狀態(tài)化鏈接，而對(duì)ICMP協(xié)議是非狀態(tài)化的

狀態(tài)化防火墻的處理過(guò)程

?ASA的安全算法

? ? ? ? 接口的安全級(jí)別

? ? ? ? 訪問(wèn)控制列表

? ? ? ? 記錄conn表

? ? ? ? 連接表

????????檢測(cè)引擎（根據(jù)結(jié)構(gòu)安全級(jí)別來(lái)決定數(shù)據(jù)是放通還是阻止）

? ? ? ? ? ? ? ? 默認(rèn)情況下，ASA自動(dòng)放通高安全級(jí)別訪問(wèn)低安全級(jí)別，阻止低安全級(jí)別訪問(wèn)高安全級(jí)別，安全級(jí)別一致，直接阻止

ASA接口

1、物理接口

? ? ? ? 基于防火墻自身模塊

2、邏輯接口

? ? ? ? 用來(lái)描述安全區(qū)域（inside（內(nèi)網(wǎng)區(qū)域）、outside、DMZ）

? ? ? ? ? ? ? ? inside：安全級(jí)別設(shè)置為100

? ? ? ? ? ? ? ? outside：安全級(jí)別設(shè)置為0

? ? ? ? ? ? ? ? DMZ：安全級(jí)別設(shè)置為50

ASA配置ACL

1.標(biāo)準(zhǔn)

2.擴(kuò)展?

總結(jié)

以上是生活随笔為你收集整理的网络安全学习（二十三）防火墙的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。