1、防火墙

防火墙顾名思义就是防止火灾发生时，火势烧到其它区域，使用由防火材料砌的墙。在网络安全中，防火墙的作用就是保护本地网络不受到外部网络或恶意程序的伤害。

防火墙的核心任务是控制和防护，即通过安全策略识别流量并做出相应的动作

 信息安全的五要素：

1. 保密性--confidentiality
2. 完整性--integrity
3. 可用性--availability
4. 可控性--controllability
5. 不可否认性--Non-repudiatiation

1. 非法性
2. 隐蔽性
3. 潜伏性
4. 可触发性
5. 表现性
6. 破坏性
7. 传染性
8. 针对性
9. 变异性
10. 不可预见性

1.1 防火墙分类

按物理特性划分：

1. 软件防火墙
2. 硬件防火墙

按性能划分：

1. 百兆级防火墙
2. 千兆级防火墙
3. ......

划分标准主要是基于它们的网络性能和吞吐量。

通道带宽越宽，性能越高

吞吐量：单位时间内防火墙处理的数据量

按防火墙结构划分：

1. 单一主机防火墙
2. 路由集成防火墙
3. 分布式防火墙
4. ......

单一主机防火墙：最为传统的防火墙，独立于其他网络设备，它位于网络边界。单一主机防火墙需要具备非常高的稳定性和系统吞吐性能，因此价格昂贵，只有少数大型企业能够承受得起。

路由集成防火墙：是指将防火墙功能集成在路由器中，以实现对网络流量的监控和过滤。这种集成方式可以提供基本的防火墙功能，如IP地址和端口号的过滤、访问控制等。相比较于单独购买防火墙设备，集成在路由器中的防火墙更为经济实惠且易于管理。路由集成防火墙通常支持动态数据包过滤、静态数据包过滤、NAT和虚拟专用网络等功能。这些功能可以帮助内部网络与外部网络进行安全通信，同时防止未经授权的访问和攻击。需要注意的是，路由集成防火墙的性能和安全性可能不如专业的硬件防火墙。

分布式防火墙：是一种基于主机的安全防护系统，它不同于传统的单一防火墙或路由集成防火墙。分布式防火墙通常由多个软件代理组成，这些代理可以分布在网络中的多个主机上，从而实现对整个网络的保护。具有灵活性高、高性能、易于管理、可扩展性强的特点。需要注意的是，分布式防火墙需要与其他安全措施结合使用，如入侵检测系统（IDS）、入侵防御系统（IPS）等，以提供全面的安全防护。

按防火墙技术划分：

1. 包过滤防火墙
2. 应用代理防火墙
3. 状态监测防火墙
4. ......

包过滤防火墙：是一种基于网络层的防火墙，它根据预定义的过滤规则对数据包进行过滤，以实现对网络流量的监控和控制。包过滤防火墙通常位于网络边界，对进出的数据包进行过滤，是防火墙的基本形式之一。工作原理为数据包检查、过滤决策和日式记录。它的优点有简单易用、高效性和透明性，但是安全性较低并且灵活性较差

应用代理防火墙：是一种基于应用层的防火墙，它通过对特定应用程序的数据流进行代理，实现对网络流量的监控和控制。应用代理防火墙通常位于网络边界，对进出的应用程序数据流进行代理，是防火墙的一种高级形式。其工作原理是连接请求处理、连接建立、数据转发、过滤决策、日志记录。它的优点是安全性较高、灵活性较高和支持多种协议，但是性能较低且配置复杂。

状态监测防火墙：是一种先进的网络安全设备，它采用了状态监测包过滤的技术，不仅检查数据包的源地址和目标地址，还检查数据包的状态信息，如TCP或UDP端口号、数据包的方向等。工作原理为连接跟踪、数据包过滤。优点有高效性、安全性、灵活性和透明性，但是配置和管理复杂、资源消耗大并且应用层检测有限，对应用层协议的深度检测能力相对较弱，无法防范一些高级工具

1.2 防火墙的发展历程

1.2.1 传统防火墙（包过滤防火墙）

包过滤防火墙可以理解为一个严格的规则表

判断信息：数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口（五元组）

工作范围：网络层、传输层

技术应用：包过滤技术

优势：对于小型站点容易实现，处理速度快，价格便宜

劣势：规则表很快会变得庞大复杂难运维，只能基于五元组

防火墙的安全策略在进行匹配时，自上向下逐一匹配，匹配上则不再向下匹配，结尾隐含一条拒绝所有的规则

缺点：

1. 只关注三四层的数据，无法检测应用层，无法充分的识别安全风险
2. 需要逐包对规则进行匹配，所以效率低，可能会成为网络的瓶颈

当两个数据包的五元组相同时，则这两个数据包为同一数据流

1.2.2 传统防火墙（应用代理防火墙）

特征：为每个应用添加代理

判断信息：所有应用层的信息包

工作范围：应用层

技术应用：应用代理技术

优势：检查了应用层的数据

劣势：检测效率低，配置运维难度极高，可伸缩性差，每一种应用都需要开发对应的代理功能，否则无法代理

1.2.3 传统防火墙（状态检测防火墙）

特征：首次检查建立会话表

判断信息：IP地址、端口号、TCP标记

工作范围：数据链路层、网络层、传输层

技术应用：状态检测技术

优势：主要检查网络层和传输层能够保证效率，对TCP防御较好

劣势：应用层控制较弱，不检查数据区

总结：为弥补包过滤防火墙和应用代理防火墙的缺点，许多防火墙产品将包过滤技术和应用代理技术相结合，以提高防火墙的综合性能。而状态监测防火墙是一种非常有效的网络安全工具，它通过跟踪网络连接状态，能够有效的监控和控制网络流量。它具有高效性、安全性、灵活性和透明性等优点，但也存在一些限制和缺点。在实际应用中，也需要根据网络环境和安全需求综合考虑去选择合适的防火墙产品

1.2.4 入侵检测系统（IDS）

描述：网络摄像头

部署方式：旁路部署，可多点部署

工作范围：2-7层

工作特点：根据部署位置监控到的流量进攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头

目的：传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情

总结：IDS可以发现安全风险并且记录、分析和反馈，但是不会直接处理或消除风险，所以它是一种侧重于风险管理的安全设备，具有一定的滞后性。

NIP是华为的IPS设备，可以将每对接口对视作一台虚拟IPS设备或IDS设备。

1.2.5 入侵防御系统（IPS）

部署方式：串联部署

工作范围：2-7层

工作特点：根据已知的安全威胁生成对应的过滤器（规则），对于识别为流量的阻断，对于未识别的放通

目的：IDS只能对网络环境进行检测，但无法进行防御，而IPS主要是针对已知威胁进行防御

总结：侧重于风险控制的安全设备

1.2.6 防病毒网关（AV）

描述：基于网络层识别病毒文件

工作范围：2-7层

目的：防止病毒文件通过外网进入内网环境

和防火墙的区别：

1.2.7 Web应用防火墙（WAF）

描述：专门用来保护Web应用

判断信息：http协议数据的request和response

工作范围：应用层

目的：防止基于应用层的攻击影响Web应用程序

主要技术原理：

1. 代理服务：会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制
2. 特征识别：通过正则表达式的特征库进行特征识别
3. 算法识别：针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

1.2.8 统一威胁管理（UTM）

描述：多合一安全网关

部署方式：串联部署

包含功能：FW、IDS、IPS、AV

工作范围：2-7层（但是不具备web应用防护能力）

目的：将多种安全问题通过一台设备解决

优点：功能多合一有效降低了硬件成本、人力成本、时间成本

缺点：模块串联检测效率低，性能消耗大

总结：UTM它的每个功能都不如专业单一的设备，但是由于是多合一，所以综合能力强

1.2.8 下一代防火墙（NGFW）

描述：升级版的UTM

包含功能：FW、IDS、IPS、AV、WAF

工作范围：2-7层

和UTM的区别：

1. 增加了一个Web应用防护功能
2. UTM是串行处理机制，NGFW是并行处理机制
3. NGFW的性能更强，管理更高效

1.3 防火墙的其他功能

1. 访问控制
2. 地址转换
3. 网络环境支持
4. 带宽管理功能
5. 入侵检测和攻击防御
6. 用户认证
7. 高可用性

1.4 防火墙的组网

“带”可以理解为网络的意思

1.4.1 带内管理

定义：带内管理指的是管理接口与业务接口在同一链路上，即管理口与业务口为同一口。在带内管理中，防火墙的管理流量和业务流量共享相同的网络资源
描述：通过网络管理

方式：Telnet，SSH，web，SNMP

1.4.2 带外管理

定义：带外管理通过不同的物理通道传送管理控制信息和数据信息，两者完全独立，互不影响。这通常意味着使用专门的、独立的接口或链路来进行管理。
描述：不通过网络管理

方式：console，MINI USB

总结：简而言之带内管理和带外管理的区别就是用网络接口进行管理的是带内，使用console接口管理的是带外