路由器與交換機(jī)的本質(zhì)是轉(zhuǎn)發(fā)，防火墻的本質(zhì)是控制和防護(hù)。

防火墻的工作原理是通過設(shè)置安全策略，來進(jìn)行安全防護(hù)。

定義——防火墻是部署在網(wǎng)絡(luò)出口處/服務(wù)器區(qū)(數(shù)據(jù)中心）/廣域網(wǎng)接入，用于防止外界黑客攻擊/保護(hù)內(nèi)部網(wǎng)絡(luò)安全性的安全硬件。

一、傳統(tǒng)防火墻：------工作于 應(yīng)用層以下

傳統(tǒng)防火墻的類型

1.包過濾（包過濾防火墻）

工作層次——3/4層（七層模型）

工作原理——手工，類似ACL控制數(shù)據(jù)包，五元組，實(shí)現(xiàn)單向訪問

優(yōu)點(diǎn)——①僅處理3/4層，簡單快捷。

缺點(diǎn)——①ACL多且復(fù)雜，手工配置，不能隨需求自動(dòng)修改；

②不能識(shí)別通信狀態(tài)進(jìn)行控制；

③不能防范應(yīng)用層攻擊；

④是默認(rèn)策略，沒有明顯允許就是禁止。

2.狀態(tài)檢測(cè)技術(shù)（狀態(tài)防火墻）

工作層次——3/4/5層

工作原理——維持會(huì)話表通信狀態(tài)。會(huì)話表包括五個(gè)元素（源目的IP，源目的端口，協(xié)議號(hào)）

優(yōu)點(diǎn)——①可以識(shí)別會(huì)話狀態(tài)控制通信；

②能動(dòng)態(tài)生成放通回程報(bào)文的策略。

缺點(diǎn)——不能防范應(yīng)用層攻擊、應(yīng)用data不能檢測(cè)、對(duì)FTP等多連接應(yīng)用兼容性差。

3.應(yīng)用代理技術(shù)ALG（應(yīng)用代理防火墻）

工作層次——3/4/5/7層

工作原理——應(yīng)用數(shù)據(jù)data檢查:動(dòng)態(tài)協(xié)商的端口、URL、 ftp操作指令、http請(qǐng) 求方法等,允許動(dòng)態(tài)通道(端口都是隨機(jī)動(dòng)態(tài)協(xié)商的,如FTP )的數(shù)據(jù)進(jìn)入防火墻。

優(yōu)點(diǎn)——可以檢測(cè)應(yīng)用層數(shù)據(jù),防范簡單的應(yīng)用層攻擊；

缺點(diǎn)——軟件處理,消耗資源。

傳統(tǒng)防火墻的工作模式

透明/網(wǎng)橋模式——防火墻相當(dāng)于二層交換機(jī)，無需配置IP地址；

路由模式——防火墻具有三層功能，需要配置IP地址，可以做NAT；

混合模式——根據(jù)需求，可以同時(shí)以透明模式和路由模式工作。

二、下一代防火墻-------工作于L2-7層

下一代防火墻的功能：

包括傳統(tǒng)防火墻的基本防護(hù)功能（包過濾、狀態(tài)檢測(cè)、應(yīng)用代理）

增強(qiáng)應(yīng)用識(shí)別與控制（深度內(nèi)容識(shí)別，即DPI技術(shù)）:將數(shù)據(jù)中的應(yīng)用層特征與本地的應(yīng)用特征庫進(jìn)行匹配（應(yīng)用特征庫會(huì)定期更新）

web攻擊防護(hù):將數(shù)據(jù)中的URL地址與本地的URL庫進(jìn)行匹配（URL庫會(huì)定期更新）

信息泄露防護(hù)

惡意代碼防護(hù)：將數(shù)據(jù)的特征與本地的病毒庫進(jìn)行匹配（病毒庫會(huì)定期更新）

入侵防御：將數(shù)據(jù)流的特征與本地的IPS入侵檢測(cè)庫進(jìn)行匹配（IPS入侵檢測(cè)庫會(huì)定期更新）

下一代防火墻的工作模式：

透明/網(wǎng)橋模式

路由模式

混合模式

旁路模式——通過數(shù)據(jù)鏡像，僅對(duì)流量進(jìn)行統(tǒng)計(jì)、掃描或者記錄，并不對(duì)流量進(jìn)行轉(zhuǎn)發(fā)。

審核編輯：劉清