路由器與交換機的本質是轉發(fā)，防火墻的本質是控制和防護。

防火墻的工作原理是通過設置安全策略，來進行安全防護。

定義——防火墻是部署在網(wǎng)絡出口處/服務器區(qū)(數(shù)據(jù)中心）/廣域網(wǎng)接入，用于防止外界黑客攻擊/保護內部網(wǎng)絡安全性的安全硬件。

一、傳統(tǒng)防火墻：------工作于 應用層以下

傳統(tǒng)防火墻的類型

1.包過濾（包過濾防火墻）

工作層次——3/4層（七層模型）

工作原理——手工，類似ACL控制數(shù)據(jù)包，五元組，實現(xiàn)單向訪問

優(yōu)點——①僅處理3/4層，簡單快捷。

缺點——①ACL多且復雜，手工配置，不能隨需求自動修改；

②不能識別通信狀態(tài)進行控制；

③不能防范應用層攻擊；

④是默認策略，沒有明顯允許就是禁止。

2.狀態(tài)檢測技術（狀態(tài)防火墻）

工作層次——3/4/5層

工作原理——維持會話表通信狀態(tài)。會話表包括五個元素（源目的IP，源目的端口，協(xié)議號）

優(yōu)點——①可以識別會話狀態(tài)控制通信；

②能動態(tài)生成放通回程報文的策略。

缺點——不能防范應用層攻擊、應用data不能檢測、對FTP等多連接應用兼容性差。

3.應用代理技術ALG（應用代理防火墻）

工作層次——3/4/5/7層

工作原理——應用數(shù)據(jù)data檢查:動態(tài)協(xié)商的端口、URL、 ftp操作指令、http請 求方法等,允許動態(tài)通道(端口都是隨機動態(tài)協(xié)商的,如FTP )的數(shù)據(jù)進入防火墻。

優(yōu)點——可以檢測應用層數(shù)據(jù),防范簡單的應用層攻擊；

缺點——軟件處理,消耗資源。

傳統(tǒng)防火墻的工作模式

透明/網(wǎng)橋模式——防火墻相當于二層交換機，無需配置IP地址；

路由模式——防火墻具有三層功能，需要配置IP地址，可以做NAT；

混合模式——根據(jù)需求，可以同時以透明模式和路由模式工作。

二、下一代防火墻-------工作于L2-7層

下一代防火墻的功能：

包括傳統(tǒng)防火墻的基本防護功能（包過濾、狀態(tài)檢測、應用代理）

增強應用識別與控制（深度內容識別，即DPI技術）:將數(shù)據(jù)中的應用層特征與本地的應用特征庫進行匹配（應用特征庫會定期更新）

web攻擊防護:將數(shù)據(jù)中的URL地址與本地的URL庫進行匹配（URL庫會定期更新）

信息泄露防護

惡意代碼防護：將數(shù)據(jù)的特征與本地的病毒庫進行匹配（病毒庫會定期更新）

入侵防御：將數(shù)據(jù)流的特征與本地的IPS入侵檢測庫進行匹配（IPS入侵檢測庫會定期更新）

下一代防火墻的工作模式：

透明/網(wǎng)橋模式

路由模式

混合模式

旁路模式——通過數(shù)據(jù)鏡像，僅對流量進行統(tǒng)計、掃描或者記錄，并不對流量進行轉發(fā)。

審核編輯：劉清