防火墙特征:
- 逻辑区域过滤器
- 隐藏内网网络结构
- 自身安全保障
- 主动防御攻击
防火墙分类:
按照访问控制方式分为:
- 包过滤防火墙
- 代理防火墙
- 状态检测防火墙
包过滤防火墙
包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL)实施数据包的过滤。主要基于数据包中的源/目IP地址、源/目的端口号、IP标识和报文传递的方向等信息。
代理防火墙
代理服务作用于网络的应用层,其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求,用户通过安全策略检查后,该防火墙将代表外部用户与真正的服务器建立连接,转发外部用户请求,并将真正服务器返回的响应会送给外部用户。
状态检测防火墙
状态检测是包过滤技术的扩展。基于连接状态的包过滤在进行数据包的检查时,不仅将每个数据包看成是独立单元,还要考虑前后报文的历史关联性。我们知道,所有基于可靠连接的数据流的建立都需要经过”客户端同步请求“、”服务器应答“以及”客户端再应答“三个过程(即”三次握手“过程),这说明每个数据包都不是独立存在的,而是前后有着密切的状态联系的。基于这种状态联系,从而发展出状态检测技术。
基本原理:
- 状态检测防火墙使用各种会话表来追踪激活的TCP会话和UDP伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接,以对UDP连接过程进行状态监控的会话。
- 状态检测防火墙在网络层截获数据包,然后从各应用层提取安全策略所需要的状态信息,并保存到会话表中,通过分析这些会话表和与数据包有关的后续连接请求了做出恰当决定。
防火墙安全策略
- 定义
- 安全策略是按一定规则控制设备对流量转发以及对流量进行内容安全一体化检测的策略。
- 规则的本质是包过滤。
- 主要应用
- 对跨防火墙的网络互访进行控制。
- 对设备本身的访问进行控制。
防火墙安全策略原理
作用: 根据定义的规则对经过防火墙的流量进行筛选,并根据关键字确定筛选出的流量如何进行下一步操作。
防火墙域间转发
查询和创建会话
会话表项
安全策略的匹配原则
首包流程会做安全策略过滤,后续包流程不做安全策略过滤。