防火墙
防火墙一般不能防止病毒,只负责过滤流量,一般普遍的是二三四层的防火墙,基于ip\端口号等进行流量过滤,能有效防火ddos攻击。防火墙兼具路由、vpn等功能
类型
- 代理防火墙
- 防火墙作为一个代理,内网流量到达防火墙之后,防火墙回复源主机,目标已到达,并同时修改源ip地址对数据包进行代理转发。整个是透明的
- 状态检测防火墙
- 当内网流量到达后,防火墙检查状态信息,发现没有匹配的状态,于是检查策略,发现该流量是允许通过的,于是记录源ip目标ipP源端口号目标端口号保存作为一条状态消息,然后检查路由表、nat地址池等记录关键信息作为状态,然后将流量进行放行。
- 当流量回来后,防火墙首先进行状态匹配,若成功则通过该状态中存储的信息对数据进行装法,而不必在检查策略、检查路由表等操作。
- DPI 深度包检测技术
- IPS 入侵防御系统 -应用层防火墙
- 检测并处理
- 通过特征库来对流量进行过滤
- IDS 入侵检测系统 -应用层防火墙
- 只做检测,不做处理,通常使用旁路安装,将经的流量复制一份进行检测,是透明的。
- 通过特征库来对流量进行过滤
- waf web应用防火墙
- 只针对web应用进行检测
- 用户行为防火墙
- 检查当前用户的上网行为,对用户上网行为进行监控,控制用户的访问情况,包括能访问那些网站,能使用那些应用,不能使用那些应用等。
衡量指标
- 吞吐量
- 时延
- 丢包率
- 并发连接数:能同时处理的会话
- 新建连接数:单位时间内能同时新建的连接数
应用模式
- 透明模式:防火墙端口工作在二层端口,对整个网络来说是透明的,三个区域工作在同一个网段
- 路由模式:防火墙端口工作在三层端口,可配置nat\路由\vpn等,三个区域工作在不同的网段
- 混杂模式:连接外网的端口工作在三层,另外两个区域的端口工作在二层。也可以让外部区域与DMZ区域的几口工作在三层,DMZ区域使用公网IP,内部区域接口工作在二层。
区域隔离
一般划分为三个区域,用来配置策略
- DMZ 非军事化区 ,当有网站需要对外发布的时候设置该区域,该区域一般不配置向内网的策略,也就是不能访问内网,用以保证内网的安全。
- 内部区域
- 外部区域
HA技术-双机热备
两台防火墙,一台为主防火墙,一台为备份防火墙,两台防火墙通过心跳线连接起来,互相交换状态信息,防火墙数据。两台防火墙同一侧的ip地址一样,心跳线两头的ip地址不一样。
