防火墙可以做什么?
1)普通访问控制(类似于传统交换机ACL,但是功能比ACL要强;例如交换机可以上256条的ACL规则,路由器可以达到几千条甚至上万条,但是防火墙普遍都可以上万条规则以上)
2)高性能状态化的访问控制(高级别安全区域能够访问低级别的安全区域,类似于CISCO的反射访问控制列表)
3)入侵检测和防御(可以根据预先或者自定义的规则,对攻击进行检测和阻断,这个功能我认为是最重要的)
4)URL过滤(这个功能在园区网比较有用,在IDC几乎没什么作用)
5)反病毒(这个功能目前比较鸡肋)
6)流量控制(跟传统的流控比起来,这个功能会相对比较鸡肋)
7)抗DDOS(这个功能相对比较鸡肋,带宽型的DDOS抗不了、CC几乎没有用、只能防护一些非常低级的DDOS攻击)
8)其他功能
什么时候需要部署防火墙
1)访问控制(如果策略的数量比较少的话可以用交换机代替,稍微高档一些的交换机的ACL规则可以高达几百条)
2)防止攻击(防火墙入侵检测和防御功能)
3)高带宽、高并发的NAT场景,例如校园网、IDC等(预算不充足的话可以使用linux的iptables集群代替,前提是要对linux内核网路方面的参数比较了解)
3)上网行为管理(限速、禁止访问某些RUL、禁止访问某类网站)
防火墙的发展历史和趋势
UTM:把所有功能做成流水线的模式,一个包裹来,要经过很多模块检测,对性能和质量造成较大影响。
下一代防火墙:所有的模块采用并行的模式,一个包过来,多个模块同时运作,性能有很大提高。
未来发展趋势:目前防火墙对应用层的检测相对来说是比较鸡肋的。未来防火墙的发展趋势会往应用层深度检测攻击的方向发展。和大数据结合在一起,具有更强的发现功能能力。
防火墙的采购注意事项
防火墙厂商的参数以吹牛为主(尤其大陆厂商)。看上去好像很屌,实际上防火墙的吞吐一般要打个30%。对于吞吐,还有分类,例如普通吞吐、IPS吞吐、IPSEC VPN吞吐、SSL VPN吞吐、AV吞吐、URL吞吐等等。
购买防火墙的时候要购买不同功能的license(例如IPS、URL过滤等等),否则买回来只是一台高档一点的ACL、NAT设备。不具备防攻击的功能。
防火墙的投入是持续的,并非一次性投资,例如要购买IPS升级特征库。
防火墙的部署误区
缺乏管理:很多单位/企业,购买了防火墙后,放在出口开启NAT后就没有下文了。这个还倒不如部署一台iptables来的划算。
对防火墙的认知误区:很多人认为防火墙部署后就可以高枕无忧了。如果你没有对日志进行分析或者使用一些高级的功能,防火墙只会是一台普通的ACL、NAT设备。不能阻挡任何攻击。
防火墙部署原则
1)明确知道要保护的资产
2)资产的保护价值
3)想通过什么方法去保护资产
防火墙的衍生产品或者类似产品
入侵检测/防御
防毒墙
流控
DDOS墙
说明:以上这些产品都可以继承在防火墙上。如果对某个功能的要求很高(例如抗DDOS的并发数、流量),那么可以考虑串联专门用于某种功能的设备
