防火墙简介

防火墙虽然具有路由交换功能，但与路由器的不同点是路由器是连通性设备，主要用于确保网络连通和数据转发，而防火墙的基本作用是保护特定网络免受“不信任”的网络的攻击，同时还必须允许两个网络之间可以进行合法的通信。

防火墙的基本信息

防火墙主要工作在OSI模型的三四层，防火墙主要基于IP报文进行检测，对端口进行限制。

防御对象：

• 授权用户

• 非授权用户

防火墙是一种隔离（非授权用户在区域间）并过滤（对受保护网络有害流量或数据包）的设备。

防火墙的区域

防火墙一般位于不同的安全区域之间，过滤不同区域之间的流量，需要注意的是指向防火墙自身的区域为local区域

隔离不同区域

• 区域根据安全等级来划分

• 区域有不同的安全等级，内网（trust）一般是100（满分），外网（untrest）一般是0，服务器区DMZ（50）

防火墙类型

包过滤防火墙——访问列表技术——三层技术

• 简单，速度慢

• 检查颗粒度粗——5元组（源地址、目的地址、协议、源端口、目的端口）

代理防火墙——中间人技术——应用层

降低包过滤颗粒度的一种做法，区域之间通信使用固定设备。

• 代理技术只能针对特定的应用来实现，应用之间不能通用

• 技术复杂，速度慢

• 能防御应用层威胁，内容威胁

状态防火墙——会话追踪技术——三层、四层

会话：和目标通信的一系列包（三次握手、请求回复、四次挥手）

工作原理：在包过滤（ACL表）的基础上增加一个会话表，数据包需要查看会话表来实现匹配。 会话表可以用hash来处理数据报文头部形成定长值，使用CAM芯片处理，可以达到交换机的处理速度。

• 首包机制

• 细颗粒度

• 速度快

UTM---深度包检查技术----应用层

把应用网关和IPS等设备在状态防火墙的基础上进行整合和统一。

• 把原来分散的设备进行统一管理，有利于节约成本 。

• 统一有利于各设备之间协作。

• 设备负荷较大并且检查也是逐个功能模块来进行的，速度慢。

下一代防火墙

2008年Palo Alto Networks 公司发布了下一代防火墙（Next-Generation Firewall），解决了多个功能 同时运行时性能下降的问题。同时，下一代防火墙还可以基于用户、应用和内容来进行管控。2009年 Gartner（一家IT咨询公司） 对下一代防火墙进行了定义，明确下一代防火墙应具备的功能特性。

Gartner把NGFW看做不同信任级别的网络之间的一个线速（wire-speed）实时防护设备，能够对流量 执行深度检测，并阻断攻击。Gartner认为，NGFW必须具备以下能力：

1.传统防火墙的功能

NGFW是新环境下传统防火墙的替代产品，必须前向兼容传统防火墙的基本功能，包括包过滤、协议状 态检测、NAT、VPN等。

2.IPS 与防火墙的深度集成**

NGFW要支持IPS功能，且实现与防火墙功能的深度融合，实现1+1>2的效果。Gartner特别强调IPS与防 火墙的“集成”而不仅仅是“联动”。例如，防火墙应根据IPS检测到的恶意流量自动更新下发安全策略，而 不需要管理员的介入。换言之，集成IPS的防火墙将更加智能。Gartner发现，NGFW产品和独立IPS产品 的市场正在融合，尤其是在企业边界的部署场景下，NGFW正在吸收独立IPS产品的市场

3.应用感知与全栈可视化

具备应用感知能力，并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段，是NGFW引 进的最重要的能力。传统的状态检测防火墙工作在二到四层，不会对报文的载荷进行检查。NGFW能对 七层检测，可以清楚地呈现网络中的具体业务，并实行管控。

4.利用防火墙以外的信息，增强管控能力

防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等，帮助改进和优化安全 策略。例如，通过集成用户认证系统，实现基于用户的安全策略，以应对移动办公场景下，IP地址变化 带来的管控难题。

安全策略

定义： 安全策略是控制设备对流量转发以及对流量进行内容安全一体化检测的策略。

作用：对通过防火墙的数据流进行检验，符合安全策略的合法数据流才能通过防火墙。

策略一般需要配置源区域、目的区域、源地址、动作（拒绝/放行）

工作流程

状态防火墙对进入的流量进行的匹配动作：

ASPF技术

多通道协议：控制进程与传输进程分离（例如FTP协议），意味着控制进程的协议和端口与传输协议的协议和端口不一致。

多通道协议无法用安全策略表去解决，如果强行解决会导致安全策略的颗粒度过大，防火墙失效

ASPF（Application Specific Packet Filter，针对应用层的包过滤）也叫基于状态的报文过滤，ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后，FW通过 检测协商报文的应用层携带的地址和端口信息，自动生成相应的Server-map表，用于放行后续建立数据 通道的报文，相当于自动创建了一条精细的“安全策略”。

Server-map表

QQ/MSN等用户连接服务器时，设备会记录下用户的IP地址和端口信息，并动态生成STUN（Simple Traversal of UDP over NATs，NAT的UDP简单穿越）类型的Server-map。这个Server-map表项中仅包含三元组信息，即通信一方的IP地址，端口号和协议号。这样其他用 户可以直接通过该IP和端口与该用户进行通信。只要有相关的流量存在，STUN动态的Server-map就将 一直存在。在所有相关流量结束后，Server-map表开始老化。