防火墙基础知识
防火墙是一种安全设备,具有控制和防护的功能,通常被部署在网络边界。
历史
包过滤防火墙,最原始的防火墙,采用类似ACL的技术,基于报文的四元组、五元组等信息进行过滤。功能单一,仅能实现简单的访问控制,不能动态防护。
代理防火墙,工作在应用层,以代理的形式实现访问控制,具有较高的安全性,但是需要对通过的所有协议开发代理,升级难度高。
状态检测防火墙,现在的防火墙基本都是以基于会话的状态检测功能作为基础的。把网络中的报文以数据流的形式对待,报文进入防火墙后,会形成会话表。防火墙根据会话表对报文进行处理,能完整的对传输层进行访问控制,安全性好、速度快。
下一代防火墙,当代的防火墙(奇怪的名字),以状态检测为基础,同时也有行为管理、入侵检测、Web安全防护、反病毒等各种在传输层之上的安全功能,具备更完善的安全防护能力。
网络中的四元组、五元组、七元组
四元组:源IP地址、目的IP地址、源端口、目的端口
五元组:源IP地址、目的IP地址、协议号、源端口、目的端口
七元组:源IP地址、目的IP地址、协议号、源端口、目的端口,服务类型以及接口索引
一般来说五元组就可以确定一个会话的信息。
部署模式
部署的位置
直路,也叫路由模式,防火墙工作在三层,支持功能全面,但是加入时需要改变网络结构。(一般部署在出口)
透明模式,防火墙工作在二层,加入时无需改变网络结构,但是会失去如VPN、NAT等功能。(一般用作内网不同区域隔壁)
旁挂引流模式,防火墙旁挂在核心交换机侧,通过交换机选择需要被处理的流量被引流到防火墙进行检测。
旁挂监控模式,防火墙旁挂在核心交换机侧,通过交换机配置镜像端口复制流量到防火墙,只能作为监控,不能控制。
高可用模式
高可用(HA,High Availability)一般使用虚拟路由器冗余协议(VRRP,Virtual Router Redundancy Protocol)实现。
主备备份,正常情况下业务流量由主设备处理。当主设备故障时,备设备接替主设备处理业务。
负载分担,正常情况下两台设备共同分担整网的业务流量。当其中一台设备故障时,另外一台设备会承担其业务,保证原本通过该设备转发的业务不中断。
心跳线。双机热备组网中,心跳线是两台设备交互消息了解对端状态以及备份配置命令的通道。
_(:3 」∠)_