防火墙介绍

一、什么是防火墙/h2>

• 防火墙指的是一个由软件和硬件设备组合而成、在内部 和外部 之间、专用 与公共 之间的界面上构造的保护屏障，用来隔离非授权用户并过滤 络中有害的流量或数据包。防火墙其实是一种隔离技术。
  在计算机中，防火墙是基于预定安全规则来监视和控制传入和传出 络流量的 络安全系统。该计算机流入流出的所有 络通信均要经过此防火墙。防火墙对流经它的 络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。

二、防火墙的功能

①防火墙是 络安全的屏障

• 一个防火墙（作为阻塞点、控制点）能极大地提高一个内部 络的安全性，并通过过滤不安全的服务而降低风险。由于只有经过精心选择的应用协议才能通过防火墙，所以 络环境变得更安全。如防火墙可以禁止诸如众所周知的不安全的NFS协议进出受保护 络，这样外部的攻击者就不可能利用这些脆弱的协议来攻击内部 络。防火墙同时可以保护 络免受基于路由的攻击，如IP选项中的源路由攻击和ICMP重定向中的重定向路径。防火墙应该可以拒绝所有以上类型攻击的 文并通知防火墙管理员。

②防火墙可以强化 络安全策略

• 通过以防火墙为中心的安全方案配置，能将所有安全软件（如口令、加密、身份认证、审计等）配置在防火墙上。与将 络安全问题分散到各个主机上相比，防火墙的集中安全管理更经济。例如在 络访问时，一次一密口令系统和其它的身份认证系统完全可以不必分散在各个主机上，而集中在防火墙一身上。

③对 络存取和访问进行监控审计

• 如果所有的访问都经过防火墙，那么，防火墙就能记录下这些访问并作出日志记录，同时也能提供 络使用情况的统计数据。当发生可疑动作时，防火墙能进行适当的 警，并提供 络是否受到监测和攻击的详细信息。另外，收集一个 络的使用和误用情况也是非常重要的。首先的理由是可以清楚防火墙是否能够抵挡攻击者的探测和攻击，并且清楚防火墙的控制是否充足。而 络使用统计对 络需求分析和威胁分析等而言也是非常重要的。

④防止内部信息的外泄

• 通过利用防火墙对内部 络的划分，可实现内部 重点 段的隔离，从而限制了局部重点或敏感 络安全问题对全局 络造成的影响。再者，隐私是内部 络非常关心的问题，一个内部 络中不引人注意的细节可能包含了有关安全的线索而引起外部攻击者的兴趣，甚至因此而暴漏了内部 络的某些安全漏洞。使用防火墙就可以隐蔽那些透漏内部细节如Finger，DNS等服务。Finger显示了主机的所有用户的注册名、真名，最后登录时间和使用shell类型等。但是Finger显示的信息非常容易被攻击者所获悉。攻击者可以知道一个系统使用的频繁程度，这个系统是否有用户正在连线上 ，这个系统是否在被攻击时引起注意等等。防火墙可以同样阻塞有关内部 络中的DNS信息，这样一台主机的域名和IP地址就不会被外界所了解。

⑤支持虚拟专用

除了安全作用，防火墙还支持具有Internet服务特性的企业内部 络技术体系VPN（虚拟专用 ）。

三、防火墙分类

以发展历程来分:

第一代: 包过滤防火墙

• 介绍：第一代防火墙是1989年产生的，仅能实现简单的访问控制。包过滤防火墙认为数据包之间是割裂的个体， 络更容易受到入侵。
• 技术：属于三层技术, 使用ACL( 访问控制列表技术 )，与nat结合使用
• 优点：简单、速度快
• 缺点：但是检测的颗粒粗

第二代: 代理防火墙

• 介绍：在应用层代理内部 络和外部 络之间的通信。
• 技术：应用层，中间人技术（代理技术）
• 优点：安全较高，能防御应用层威胁，内容威胁
• 缺点：技术复杂，速度慢，只能对特定的应用提供代理支持，应用剑不能通用。

Web应用防火墙（WAF）：保护Web应用

判断信息：HTTP协议数据的request和response
工作范围：应用层（7层）
目的：防止基于应用层的攻击影响Web应用系统
主要技术原理：

• 代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制
• 特征识别：通过正则表达式的特征库进行特征识别
• 算法识别：针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

以存在形式来分:

软件防火墙（iptables,）

• 软件防火墙也称为个人防火墙，它是最常用的防火墙，通常作为计算机系统上的程序运行。它是可定制的，允许用户控制其功能。软件防火墙单独使用软件系统来完成防火墙功能，将软件部署在系统主机上，其安全性较硬件防火墙差，同时占用系统资源，在一定程度上影响系统性能。与基于硬件的防火墙不同，软件防火墙只能保护安装它的系统。

硬件防火墙

• 硬件防火墙是指把防火墙程序做到芯片里面，由硬件执行这些功能，能减少CPU的负担，使路由更稳定。

软件防火墙与硬件防护墙的区别

• 软件防火墙只有包过滤的功能，硬件防火墙中可能还有除软件防火墙以外的其他功能，例如CF（内容过滤）IDS（入侵侦测）IPS（入侵防护）以及VPN等等的功能。
• 软件防火墙性能比硬件防火墙低、成本低

防火墙如何处理双通道协议

• ftp、VOIP等协议，通道是随机协商出来的，因此防火墙不能设置策略，也难以形成会话表
  使用ASPF（针对引用层的包过滤）技术， ASPF功能 可以自动检测某些 文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后，FW通过 检测协商 文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据 通道的 文，相当于自动创建了一条精细的“安全策略”。
  

server-map是一种映射关系，当数据连接匹配了动态Server-map表项时，不需要再查找包过滤策略，保证了某些特殊应用的正常转发。
Server map：为特殊应用能够安全顺利通过防火墙，而产生的一种动态、特殊的会话表项

防火墙如何处理nat 地址转换

• nat server会产生正反的server-map表项，还是一样的，它只起到地址转换的作用，帮助外 主机进行目的地址转换，同时可以通过正向server-map表项帮助内 服务器进行地址转换