目录
- 防火墙概述
- 防火墙发展进程
- 包过滤防火墙
- 代理防火墙
- 状态检测防火墙
- UTM
- 下一代防火墙(NGFW)
- 防火墙分类
- 按物理特性划分
- 软件防火墙
- 硬件防火墙
- 按性能划分
- 百兆级别和千兆级别
- 按防火墙结构划分
- 单一主机防火墙
- 路由集成式防火墙
- 分布式防火墙
- 华为防火墙利用ensp实现控制
防火墙概述
防火墙是一种网络安全系统,可以限制进出专用网络或者专用网络内的互联网流量。
防火墙的核心任务–>控制和防护–>安全策略–>防火墙通过安全策略识别流量并做出相应的动作。
防火墙又可分为几大类:
防火墙发展进程
防火墙的发展进程是一个不断升级和不断改进的一个过程,相对应的其功能防护也更加丰富
包过滤防火墙
早期包过滤防火墙采用的是“逐包检测”机制,每次设备收到的报文都根据包过滤规则每次都检查才决定是否对该报文进行放行。所以很显然这种方式效率比较低。
判断信息: 源IP地址、目标IP地址、源端口、目标端口、协议类型(五元组)
工作范围: 网络层、传输层(3-4层)
优势: 对于小站点容易实现,处理速度快,价格便宜
劣势: 规则表很快会变得庞大复杂难运维,只能基于五元组并不能上升到应用层
代理防火墙
代理防火墙和包过滤防火墙最大的区别就是代理防火墙能够检测应用层的数据,代理防火墙也可以叫做应用网关防火墙,该主机有多个网络接口,能够在应用层中继两个连接之间的特定类型的流量,这也是他的缺点之一每一种应用都需要开发对应的代理功能,否则无法代理。
判断信息: 所有应用层的信息包
工作范围: 应用层(7层)
优势: 检查了应用层的数据
劣势: 检测效率低,配置运维难度极高,可伸缩性差
状态检测防火墙
状态检测防火墙是在包过滤防火墙的基础上进行了扩展。它使用了“会话表技术”—首包检测,从而性能比较好
判断信息: IP地址、端口号、TCP标记
工作范围: 数据链路层、网络层、传输层(2-4层)
优势: 状态检测技术
劣势: 应用层控制较弱、不检查数据区
UTM
UTM又叫统一威胁管理,它是一种功能全面的安全产品,作为单个产品能提供多种安全功能,包括反病毒、反恶意软件、防火墙、IPS、IDS等功能,功能丰富
包含功能: FW、IDS、IPS、AV
工作范围: (2-7层)
优势: 功能多合一有限降低了硬件成本、人力成本、时间成本
劣势: 模块串联检测效率低、性能消耗大,不具备WEB应用防护能力
下一代防火墙(NGFW)
下一代防火墙是在以上的传统状态防火墙和UTM设备的下一代产品,它不仅包含传统防火墙的全部功能(基础包过滤、状态检测、NAT、VPN等)还集成了应用和用户的识别和控制、入侵防御(IPS)等更高级的安全能力。相对于UTM设备,NGFW则拥有更快处理效率和更强的外部拓展、联动能力。
包含功能: FW、IDS、IPS、AV、WAF
工作范围: 2-7层
和UTM的区别:
与UTM相比增加的web应用防护功能;UTM是串行处理机制,NGFW是并行处理机制、NGFW的性能更强,管理更高效。
防火墙分类
按物理特性划分
软件防火墙
软件防火墙,一般基于某个操作系统平台开发,直接在计算机上进行软件的安装和配置。由于客户之间操作系统的多样性,软件防火墙需要支持多种操作系统如“Unix、Linux、SCO-Unix、Windows”等。其中比较好用的PC软件防火墙也有很多比如:Comodo防火墙、TinyWall、ZoneAlarm防火墙等,软件防火墙的优势就是成本低、配置较为简单、更适合家庭使用。
硬件防火墙
硬件防火墙实际就是将“软件防火墙”嵌入到硬件中,由硬件去执行这些功能,从而减少计算机或服务器的CPU负担,相较于软件防火墙硬件防火墙更具有安全性,相对的价格和配置难度也相对高一些,其应用的场景更多的存在于中大型企业当中。其中生产厂商比较有名的且权威的就有华为、H3C、深信服等等
按性能划分
百兆级别和千兆级别
根据性能的不同,防火墙可以分为百兆级防火墙和千兆级防火墙。 百兆级防火墙通常适用于带宽较低的网络环境,而千兆级防火墙则适用于高带宽的网络环境。 千兆级防火墙具有更高的数据传输能力和更强的安全防护能力
按防火墙结构划分
单一主机防火墙
单一主机防火墙也就是传统的防火墙,位于网络的边界,独立于其他网络设备,类似于一个pc机同样包括CPU、内存、硬盘、主板一系列的基本组件,具有非常高的稳定性、实用性、具备比较强的吞吐性能。
路由集成式防火墙
路由集成式防火墙是一种网络安全设备,结合了路由器和防火墙的功能。它可以在网络边界处实现路由和安全策略控制,保护局域网内部免受未经授权的访问和网络攻击的侵害。这种设备通常具有以下特点:
1、路由功能:能够将数据包从一个网络传输到另一个网络,实现网络间的通信和数据转发。
2、防火墙功能:能够检测和过滤进出网络的数据包,根据预先设定的安全策略来允许或拒绝数据流量,以保护网络免受恶意攻击、病毒和未经授权的访问。
3、集成性:将路由功能和防火墙功能整合在一起,简化了网络架构,减少了设备数量,降低了管理和维护成本。
4、灵活性:通常具有灵活的安全策略设定功能,可以根据网络需求定制不同的安全规则和访问控制策略。
5、性能:具有高性能的数据处理能力,能够有效地处理大量的数据流量,保证网络通信的流畅和安全。
路由集成式防火墙在企业网络和小型办公室/家庭办公室(SOHO)等场景中被广泛应用,是网络安全基础设施的重要组成部分。通过整合路由和防火墙功能,它可以为用户提供便捷、高效、可靠的网络安全保护
分布式防火墙
分布式防火墙是一种网络安全技术,它通过将防火墙功能分布在多个位置来提供更有效的网络安全保护。传统的中心化防火墙通常位于网络边界,负责监控和控制进出网络的流量。而分布式防火墙则将防火墙功能推送到网络中的多个节点,使得网络流量可以在多个位置进行检查和过滤,从而增强了网络对攻击和威胁的防护能力。
分布式防火墙通常采用集中式管理和分散式执行的架构,通过集中管理的方式实现规则和策略的一致性,同时在网络中的各个节点上执行实际的防火墙功能,可以更加精细地监控和过滤网络流量。这种架构可以有效地减轻中心化防火墙的单点压力,更好地应对大规模的网络流量和复杂的安全威胁。
分布式防火墙还可以提供更灵活的部署方式,可以根据网络拓扑和需求在不同位置部署防火墙节点,从而更好地适应复杂多样的网络环境。同时,分布式防火墙还可以通过更好地利用网络内部资源,提高网络流量的处理效率和安全性。
总的来说,分布式防火墙是一种更加灵活、高效和安全的网络安全技术,可以帮助组织更好地保护其网络免受各种网络威胁的侵害
华为防火墙利用ensp实现控制
首先ensp需要一个防火墙设备包,这里使用的是华为USG6000V防火墙
1、首先需要将压缩包压缩
链接: USG6000V
提取码:1314
2、放置一个Cloud1 和一个防火墙
3、右键点击防火墙导入上面解压好的vfw_usg.vdi,导入启动防火墙,等待一会。
4、启动后默认账号:admin 密码:Admin@123
之后会让你修改密码,不能太简单否则会报错
5、system-view进入会话模式
默认G0/0/0是有ip的,防火墙默认web控制和DHCP开启,还需要进入G0/0/0接口开启开启管理服务,真实设备是默认开启的模拟需要手动开启。
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit — 开启管理服务
6、开启管理服务
7、配置Cloud
8、增加一个UDP端口,点击增加
9、然后在绑定信息那里再绑定一个你的网卡,需要网卡网段修改到和防火墙一个网段,你可以去设备管理器那里添加一个网卡也可以随便找一个虚拟网卡然后去网卡那里配置ip因为防火墙ip默认为192.168.0.1/24可以设置ip为192.168.0.2
10、连接cloud和防火墙
11、访问192.168.0.1地址,如果不行试一试后面加上8443端口
到这里基本就完成了后续再对防火墙具体使用进行详解。