网络安全技术之防火墙的概念及分类

一．防火墙的基本概念

定义:是一款具备安全防护功能网络设备

隔离网络:将需要保护的网络与不可信任网络进行隔离，隐藏信息并进行安全防护

二．防火墙的基本功能

访问控制攻击防护冗余设计路由、交换日志记录虚拟专网VPNNAT

三．防火墙产品及厂家

防火墙产品:H3C U200系列

 

四．区域隔离

防火墙区域概念: 内部区域

DMZ区域:称为”隔离区”，也称”非军事化区/停火区”

外部区域

五．防火墙的分类

1.按防火墙形态:

软件防火墙

硬件防火墙

按技术实现:

包过滤防火墙

状态检测包过滤防火墙

应用(代理)防火墙

WAF防火墙

应用层防火墙

六．防火墙的发展历史

包过滤防火墙(分组过滤防火墙)

最早的防火墙技术之一，功能简单，配置复杂

根据分组包的源、目的地址，端口号及协议类型，标志位确定是否允许分组包通过。

所根据的信息来源于IP、ICMP、TCP、UDP等协议的数据包头

优点:高效、透明

缺点:对管理员要求高、处理信息能力有限

状态检测包过滤防火墙

现在主流防火墙，速度快，配置方便，功能较多

从传统包过滤发展而来，除了包过滤检测的特性外，对网络连接设置状态特性加以检测

优点:减少检查工作量，提高效率 连接状态可以简化规则的设置

缺点:对应用层检查不够深入

应用(代理)防火墙最早的防火墙技术之二，连接效率低，速度慢

优点:安全性高，检测内容

缺点:连接性差，可伸缩性差

DPI防火墙(Deep packet Inspection)

未来防火墙的发展方向，能够高速的对第七层数据进行检测

七．防火墙的工作模式及部署类型标准应用

透明模式

一般用于用户网络已经建设完毕，网络功能基本已经实现的情况下，用户需要加装防火墙以实现安全区域隔离的要求

路由模型

路由/NAT模式一般用于防火墙当作路由器和NAT设备连接上网的同时，提高安全过滤功能

混杂模型

一般网络情况为透明模式和路由模式的混合

八．衡量防火墙性能的5大指标

吞吐量:在不丢包的情况下单位时间内通过的数据包数量

时延:数据包第一个比特进入防火墙到随后一个比特从防火墙输出的时间间隔

丢包率:通过防火墙时所丢失数据包数量占所发送数据包的比率

并发连接数:防火墙能够同时处理的点对点连接的最大数目

新建连接数:在不丢包的情况下每秒可以建立的最大连接数

编辑：黄飞