防火墙原理

防火墙的概述

防火墙的定义

防火墙是一款具备安全防护功能的网络设备。

防火墙形态

软件防火墙：360、瑞星等等
硬件防火墙

防火墙主要作用

作用：隔离区域/网络隔离/区域隔离
区域隔离：将需要保护的网络与不可信任的网络隔离，对内部信息进行安全防护！

防火墙与路由器得根本区别：

1、具有基本得防御能力（2-4层，NGFW2-5）
2、路由器配通路由，全网互通！ 防火墙配通路由，默认全部禁止通过

防火墙的基本功能

• 区域隔离
• 策略/访问控制ACL
• 攻击防护（DDOS）（重心是防止基于2，3，4层得攻击）
• 冗余设计
• 日志记录
• 路由、交换
• VPN
• NAT（源转换=PAT、目标转换==端口映射）

防火墙的区域隔离

防火墙的区域概念

一般防火墙将网络分为3个区域：
信任区域：Trust / Inside
DMZ区域：隔离区，也称为非军事化区域/停火区
非信任区域：Untrust / Outside

区域间通信

默认情况下，区域间通信是完全被屏蔽！
区域间需要写策略，才能放行数据！而且是有放行方向的！

如何写策略

一般都会采用如何几个策略：
1、inside — to — outside : 全部放行
2、inside — to — DMZ ：全部放行
3、DMZ — to — Outside ：全部放行
结果：高区域可以访问低区域，低区域不能访问高区域

为什么设置DMZ区域？

当公司有需要对外发布服务器的时候，将服务器放置到DMZ区域、并写放行策略：outside — to —
DMZ，一旦DMZ区域被敌人攻破，由于DMZ区域为隔离区域，不会进一步殃及破坏inside区域，所以设置DMZ区域是为了保护inside区域。

路由器和防火墙的区别

路由器：配置好IP和路由，默认全网互通！
防火墙：配置好IP和路由，区域间完全被隔离，禁止通信！·3
三、防火墙的历史发展和分类
包过滤防火墙（早期的防火墙）
应用代理防火墙（早期的防火墙）proxy
状态检测防火墙（目前主流防火墙）（2-4层）
高级应用防火墙（NGFW防火墙/DPI防火墙）（目前主流防火墙）（2-5层，2-7层）

包过滤防火墙（早期的防火墙）

只能基于IP与端口号对数据进行过滤、不能对应用层数据做过滤
不够智能，外网回来的包，不能识别是回包，还是主动发的包！

代理防火墙

特点：可以基于应用层对数据过滤，所谓代理很麻烦，大大降低网络通信效率！

状态检测防火墙

主流防火墙，智能的检测回包机制！早期的状态检测防火墙依然只能对2/3/4层过滤
状态检测防火墙数据处理流程图：

高级应用防火墙

高级应用防火墙DPI防火墙Deep Packet Inspection
在状态检测防火墙的基础上，增加了应用层数据深度检测模块
未来的一个发展方向！能够高速高效的对应用层数据进行过滤！

防火墙的工作模式与部署位置

路由模式

路由模式：防火墙的端口设置为3层端口，防火墙工作在三层路由器模式
路由模式防火墙可以改变网络结构！
一般路由模式的防火墙部署在公司总出口

透明模式

透明模式：防火墙的端口设置为2层端口，防火墙工作在二层交换机模式
透明模式防火墙不会改变网络结构！
一般透明模式的防火墙部署在内部链路上，来保护整个内部或者局部设备！
默认eth0端口厂家已经配置好IP了，且IP是：192.168.1.254/24
同时eth0端口默认也开启了443端口，一般伪装成8080
然后打开IE或者chrome浏览器，输入： https://192.168.1.254:8080
用户名：superman
密码：talent

混杂模式