一.网络防火墙的作用:
1. 在内网和外网之间搭建一个防火墙,用来防止外部黑客或者用户不希望的用户对内网服务进行访问。
2. 在内网中,重要、敏感信息资源和内网之间搭建一个防火墙,对内网中用户进行访问权限控制。避免无权访问的人员随意进行访问。
3. 可以对内网中的主机外连进行控制,限制内网主机访问不希望访问的网站,例如暴力、色情网站等。
二、防火墙一般部署在网络的进出口上
对访问的数据包进行判断,是否符合我们制定的安全策略,又称安全网关
三、防火墙控制的五元组
1.五元组:目的端口、原端口、目的IP、原IP、协议号
2.防火墙通过控制上述**五元组**达到控制访问的目的
四、访问控制列表ACL(Access Control List)
1.标志IP访问控制列表:Access-list(*名称*) [list-number(*列表序号*)] [permit(*接受*)|deny(*拒绝*)] [source-address(*IP地址*)] [wildcard-mask(*子网掩码*)] [log]
2.扩展的IP访问控制列表:Access-list(*名称*) [list-number(*列表序号*)] [permit(*接受*)|deny(*拒绝*)] [protocol(*协议*)][source-address(*源IP地址*)] [source-mask(*源IP掩码*)] [source-port(*源IP端口*)] [destination-address(*目的IP地址*)] [destination-mask(*目的IP掩码*)] [destination-port(*目的IP端口*)] [log] [option]
五、ACL规则的匹配原则
1.ACL按照列表顺序,从上到下依次匹配,一旦有一条匹配,结束匹配,并执行相应规则
2.如果所有规则均未匹配成功,则数据包将被丢弃
3.安全规则主要包含:源、目的地址和端口,TCP标志位,应用时间以及一些高级过滤选项
六、防火墙工作方式
工作方式1:包过滤
包过滤防火墙:单个数据包传输到防火墙,防火墙检测该包的五元组特征与ACL匹配规则,如果匹配成功,则执行相应策略。不设立内容缓存区,不关心传输内容,只通过算法进行包头数据对比检查。
优点:简单易行,处理速度快。
缺点:单包处理,只检查包头。前后数据包无逻辑关系,不能发现通信中插入或漏缺的数据包,也不能发现假冒者的数据包,易遭受DDOS攻击。
工作方式2:状态监测
1.状态监测型防火墙组成:状态监测防火墙 + 包过滤防火墙
2.状态监测防火墙:根据TCP/IP相关的协议规则,进行协议连接的状态监测,针对每一个连接都建立一个状态跟踪,发现状态不匹配时,则不转发此数据包。
3.运行过程:首先经过状态监测防火墙,检查该**数据包是否包含在状态监测表中**。
是,则通过。
↓
否,则需判断是否为新建立连接产生的数据包,进入包过滤防火墙。检查该数据包**是否通过安全过滤规则匹配**。
↓
是,则通过。|| 否,则丢弃。
工作方式3:应用代理
应用网关防火墙:对每一个应用建立一个代理,访问者进行访问时,建立从访问者到防火墙的连接,再由防火墙建立从防火墙到网络资源的连接。
优点:防火墙成为访问的中间代理人,中断了访问者与服务器之间的直接连接,可避免对
服务器的直接入侵。即“协议落地”
缺点:只是应用层的代理,需要与包过滤和、状态过滤技术一起使用。两边分别建立连接,设置缓冲区。缓冲时间长,速度慢,延迟大。
七、防火墙性能→防火墙设备的重要指标
1.吞吐量:不丢包的情况下,单位时间内通过的数据包数量。
2.时延:数据包第一个比特进入防火墙,到最后一个比特从防火墙输出的时间。
3.丢包率:通过防火墙传送时所丢失的数据包数量占所发送数据包的比率。
4.并发连接数:防火墙能够同时处理的点对点连接的最大数目。(状态防火墙)
5.新建连接数:在不丢包的情况下每秒可以建立的最大连接数。(状态防火墙)
注:
端口升级与虚拟化,需要更强的处理能力。
”策略硬件化”,是提高防火墙性能的主要方法。
