防火墙概念
是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。
将需要保护的网络和不可信网络进行隔离,隐藏信息并进行安全防护。
防火墙基本功能
访问控制、攻击防护、冗余设计、路由/交换、日志记录、虚拟专网VPN、NAT
防火墙区域隔离
防火墙的每个接口是一个区域,起到区域隔离作用。
防火墙一般有trust区域、DMZ区域、untrust区域。一般配置策略为trust区域能访问untrust区域,trust区域能访问DMZ区域,DMZ区域能访问untrust区域,区域之间要能访问,需要配置策略,否则区域之间禁止通行,如,DMZ区域和untrust区域到trust区域不配置通信策略,则DMZ区域和untrust区域无法访问trust区域。
思科叫做inside区域、outside区域、DMZ区域。
防火墙种类
存在形态上分为:软件防火墙、硬件防火墙。
实现的技术分为:主要有状态监测防火墙、WAF防火墙(web防火墙)、应用层防火墙等。
web服务器直连 -> WAF防火墙 -> 网络出方向的设备……
状态监测防火墙工作在3、4层(网络层和传输层),其状态监测防火墙工作流图为
衡量防火墙性能的5大指标
1.吞吐量:在不丢包的情况下单位时间内通过的数据包数量。
2.时延:数据包第一个比特进入防火墙到最后一比特从防火墙输出的时间间隔。
3.丢包率:通过防火墙传送时所丢失数据包数量占所发送数据包的比率。
4.并发连接数:防火墙能够同时处理的点对点连接的最大数目。
5.新建连接数:在不丢包的情况下每秒可以建立的最大连接数。
防火墙工作模式
透明模式、路由模式、混合模式
上图工作在透明模式的防火墙接口为二层接口,在没配策略的情况下,trust区域、DMZ区域和untrust区域是被隔离开的,之间无法相互访问。
透明模式下,只需在网络中安装防火墙,其他设备不用改动和配置(如配置IP地址,路由等)。
