防火墙:FireWall
·位于多个信任程度不同的网络之间(如企业内部网络和Internet之间)的设备。 ·对两个网络之间的通信进行控制,通过强制实施统一的安全策略,防止对重要信息资源的非法存取和访问以达到保护系统安全的目的
·防火墙 = 硬件 + 软件 + 控制策略
- 宽松控制策略:除非明确禁止,否则允许
- 限制控制策略:除非明确允许,否则禁止
防火墙与路由器交换机对比
·路由器与交换机的本质是转发,防火墙的本质是控制
在低端,防火墙和路由器有融合趋势,防火墙具备大部分路由器功能,路由器
具备部分安全特性
在中高端,防火墙愈加突出安全特性
路由交换及TCPIP协议是防火墙的网络基础特性
防火墙和路由器实现安全控制的区别
防火墙发展史
华为防火墙产品
|
访问控制越来越精确 |
从最初的简单访问控制,到基于会话的访问控制,再到下一 代防火墙上基于应用、用户和内容来做访问控制,都是为了 实现更有效更精确地访问控制 |
|
防护能力越来越强 |
从早期的隔离功能,到逐渐增加了入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能,防护手段越来越多,防护的范围也越来越广 |
|
性能越来越高 |
随着网络中业务流量爆炸式增长,对性能的需求也越来越高,各个防火墙厂商通过对硬件和软件架构的不断改进,使防火墙的处理性能与业务流量相匹配 |
传统防火墙面临的问题
·协议识别技术,仅检查报文的五元组,根据TCP/UDP报文的端口号来识别应用,而目前有许多传统和新兴应用采用了各种端口隐藏技术来逃避检测,如使用非知名端口和随机端口
·另一方面,一个协议可以用于多个应用软件,一个应用软件也可能使用多个协议。 协议和应用之间的关系错综复杂纠缠不清
现代网络面临的挑战
·当前网络中可能包括协作类应用、即时消息、电话会议、流媒体、文件共享、在线存储、VoIP、P2P、游戏、娱乐等等各种应用
·企业必须正确区分合法应用、风险应用和带宽占用类应用,保证正常业务的带宽, 限制甚至阻断社交媒体和游戏娱乐类应用,并消除潜在的威胁。这一切都落在了防火墙的肩上,这是时代对防火墙提出的新要求
防火墙分类
·按照形态
- 硬件防火墙
- 软件防火墙
•按照保护对象
- 单机防火墙
- 网络防火墙
·按照访问控制方式
- 包过滤防火墙
- 代理防火墙
- 状态检测防火墙
包过滤防火墙
在网络层对每一个数据包进行检查,根据配置的规则
转发或丢弃数据包,通过配置ACL来实现
代理防火墙
作用于应用层,其实质是把内部网络和外部网络
用户之间直接进行的业务由代理接管
状态检测防火墙
包过滤技术的扩展,基于连接状态的包过滤在进行数据包的检查时, 不仅将每个数据包看成是独立单元,还要考虑前后报文的历史关联性
原文地址:http://www.cnblogs.com/IT-Evan/p/16852235.html
