1. 防火墙的基本功能
主要用来防范攻击、报文过滤。
报文过滤:防火墙通过域来表示不同的网络,通过将接口加入域并在安全区域之间启动安全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。
默认的四个安全区域:
本地区域:100
受信区Trust:85
非军事区DMZ:50
非受信区:5
数字为优先级
数据流方向定义:高优先级到低为出,低到高为入
包过滤:根据源/目的IP或MAC地址、协议、端口号、报文优先级、服务类型
动作:允许与拒绝
进来的报文先匹配策略,进行动作。允许进入,拒绝丢弃
为了提高效率,进行首包检查机制:对于一个数据流(IP 端口号 协议都相同的流)只对第一个报文进行检查,不检查后续报文。
允许Trust到非Trust区域,但反过来需要定义严格的安全策略。
2. 防火墙的会话表机制
会话表机制:
对源、目的IP 地址,源、目的端口号,协议号进行记录。返回来的流量如果匹配会话表记录,则不进行安全策略检查。如果外网主动请求访问,如果没有命中会话表则进行检查,不通过则不允许访问。
有些软件QQ、 FTP服务器等由于机制问题 客户端的端口号和服务器返回端口号不一致,需要用ASPF机制:对常见协议的一个统计。基于状态的报文过滤 ,来解决该问题。
线网为了防止防火墙故障,一般会部署两个,一个备用。平时出入数据流通过主防火墙,主防火墙有会话表,但是备用防火墙没有会话表,所以用HRP协议对会话表进行备份,主防火墙将会话表备份到备用防火墙。