目录

1. 防火墙的定义：

2. 防火墙分类：

3. 防火墙的发展进程： 

3.1传统防火墙 (包过滤防火墙)---一个严格的规则表：

3.2传统防火墙(应用代理防火墙)---每个应用添加代理

3.3传统防火墙 (状态检测防火墙)---首次检建立会话表

3.4. 专用设备

3.4.1 入侵检测系统(IDS)

3.4.2 入侵防御系统(IPS)

3.4.3 防病毒网关 (AV)

3.4.4 Web应用防火墙 (WAF) 

3.4.5. 统一威胁管理 (UTM)-多合一安全网关

3.4.6下一代防火墙 (NGFW)---升级版的UTM

4. 防火墙的其他功能：

5. 防火墙的管理员：

---

1. 防火墙的定义：

防火墙的主要职责在于：控制和防护----（完成该任务的是）---安全策略---防火墙可以根据安全策略来抓取流量，之后做出对应的动作

2. 防火墙分类：

按性能分类：吞吐量---防火墙同一时间处理的数据流量 

3. 防火墙的发展进程： 

3.1传统防火墙 (包过滤防火墙)---一个严格的规则表：

判断信息:数堵包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)

工作范围: 网络层、传输层(3-4层)

和路由器的区别:

普通的路由器只检查数据包的目标地址，并选择一个达到目的地址的最佳路径。

防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断“是与否“

技术应用:包过滤技术

优势:对于小型站点容易实现，处理速度快，价格便宜、

劣势:规则表很快会变得庞大复杂难运维，只能基于五元组

1，很多安全风险集中在应用层的，所以，仅关注三四层的数据无法做到完全隔离安全风险

2，逐包经行进行包过滤检测，将导致防火墙的转发效率过低，成为网络中的瓶颈。

在ACL列表中，华为体系下，末尾是没有隐含规则的，即如果匹配不到ACL列表，则认为ACL列 表不存在，之前可以通过，则还可以通过；但是，在防火墙的安全策略中，为了保证安全，末 尾会隐含一条拒绝所有的规则，即只要没有放通的流量，都是不能通过的。 

3.2传统防火墙(应用代理防火墙)---每个应用添加代理

判断信息:所有应用层的信息包

工作范围: 应用层(7层)

和包过滤防火墙的区别:

包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。

应用代理防火墙工作7层，检查所有的应用层信息包，每个应用需要添加对应的代理服务.

技术应用:应用代理技术

优势:检查了应用层的数据

劣势:检测效率低，配运维难度极高，可伸缩性差

1，因为需要防火墙进行先一步安全识别，所以转发效率会降低(原来的三层握手就会变成6次握手

2，可伸缩性差: 每一种应用程序需要代理的话，都需要开发对应对应的代理功能，如果没有开发，则无法进行代理。

3.3传统防火墙 (状态检测防火墙)---首次检建立会话表

判断信息: IP地址、端口号、TCP标记

工作范围:数据链路层、网络层、传输层(2-4层)

和包过滤防火墙的区别:

包过滤防火墙工作基于3-4层，通过检验报头进行规则表匹配。

是包过滤防火墙的升级版，一次检查建立会话表，后期直接按会话表放行

技术应用:状态检测技术

优势:主要检查3-4层能够保证效率，对TCP防御较好

劣势:应用层控制较弱，不检查数据区

3.4. 专用设备

3.4.1 入侵检测系统(IDS)

入侵检测系统IDS)---网络摄像头（专用设备）

部署方式:旁路部署，可多点部署

工作范围:2-7层（主要检测七层）

工作特点:根据部署位置监控到的流量进行攻击事件监控，属于一个事后呈现的系统，相当于网络上的监控摄像头

目的:传统防火墙只能基于规则执行“是”或“否”的策略，IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情

分析方式:

1、基于规则入检测

2、基于异常情况检测;

3、统计模型分析呈现

IDS--- 一种侧重于风险管理的安全机制 --- 滞后性

旁路部署：

3.4.2 入侵防御系统(IPS)

入侵防御系统(IPS)抵御2-7层已知威胁（专用设备）

部署方式:串联部署

工作范围:2-7层

工作特点:根据已知的安全威胁生成对应的过滤器(规则)，对于识别为流量的阻断，对于未识别的放通（特征库）

目的:IDS只能对网络环境进行检测，但却无法进行防御，IPS主要是针对已知威胁进行防御

3.4.3 防病毒网关 (AV)

防病毒网关 (AV)-基于网络侧识别病毒文件（专用设备）

判断信息:数据包

工作范围:2-7层

目的:防止病毒文件通过外网络进入到内网环境

和防火墙的区别:

3.4.4 Web应用防火墙 (WAF) 

Web应用防火墙 (WAF)-专门用来保护web应用（专用设备）

判断信息: http协议数据的request和response

工作范围:应用层(7层)

目的:防止基于应用层的攻击影响Web应用系统

主要技术原理:

代理服务:会话双向代理，用户与服务器不产生直接链接，对于DDOS攻击可以抑制
特征识别:通过正则表达式的特征库进行特征识别
算法识别: 针对攻击方式进行模式化识别，如SQL注入、DDOS、XSS等

因为众多的专用设备导致企业在部署安全防护时需要同时不是大量的设备进行防护，则设备维 护成本大大提高，所有设备都需要对流量进行检测，所以，效率很低

3.4.5. 统一威胁管理 (UTM)-多合一安全网关

包含功能: FW、IDS、IPS、AV

工作范围:2-7层(但是不具备web应用防护能力)

目的:将多种安全问题通过一台设备解决

优点:功能多合一有效降低了硬件成本、人力成本、时间成本

缺点:模块串联检测效率低，性能消耗大

 

在UTM中，各功能模块是串联工作，所以，检测效率并没有得到提升。但是，因为继承在了一台设备中，所以，维护成本得到降低

3.4.6下一代防火墙 (NGFW)---升级版的UTM

包含功能: FW、IDS、IPS、AV、WAF

工作范围:2-7层

和UTM的区别:

        与UTM相比增加的web应用防护功能;

        UTM是串行处理机制，NGFW是并行处理机制:

        NGFW的性能更强，管理更高效

改进点核心：相较于之前UTM中各模块的串联部署，变为了并联部署，仅需要一次检测，所有 功能模块都可以做出对应的处理。大大提高了工作效率。

4. 防火墙的其他功能：

防火墙的控制

带内管理 --- 通过网络环境对设备进行控制 --- telnet，ssh，web --- 登录设备和被登录设备间网络需要联通

设备登录管理组网-Web/SSH/Telnet
        直接相连(通过局域网）

带外管理 --- console线，mini usb线

华为防火墙的MGMT接口（G0/0/0）出厂时默认配置的有IP地址：192.168.0.1/24，并且 该接口默认开启了DHCP和web登录的功能，方便进行web管理。

admin/Admin@123

[USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 开启管理口web登录服务

5. 防火墙的管理员

本地认证 --- 用户信息存储在防火墙上，登录时，防火墙根据输入的用户名和密码进行判断，如果通过验证，则成功登录。

服务器认证 ---和第三方的认证服务器对接，登录时，防火墙将登录信息发送给第三方服务器，之后由第三方服务器来进行验证，通过则反馈给防火墙，防火墙放行。

一般适用于企业本身使用第三方服务器来存储用户信息，则用户信息不需要重复创建。

服务器/本地认证---优先使用服务器认证，如果服务器认证失败，则也不进行本地认证。只有在服务器对接不上的时候，采用本地认证

信任主机  --- 可以添加一个地址或者网段，则其含义是只有在该地址活着地址段内，可以登录管理设备---最多可以添加10条信息