EqLlyHJ5w6,694hQRgLWm

防火墙(Firewall)原理及其功能表述普及篇



防火墙(Firewall)原理及其功能表述普及篇






    下面介绍内容包括产品的定义、功能、部署拓扑等等。个人能力有限写的不好勿喷,喜欢的朋友欢迎顶一下。    

     作为网络安全最基础的产品防火墙已经是安全必配,所以今天给大家介绍一下防火墙,介绍防火墙之前先了解一个名词“安全域”


安全域:是指同一环境内有相同的安全保护需求、相互信任、并具有相同的安全访问控制盒边界控制策略的网络或系统。比如互联网和局域网是两个不同的安全域,同一局域网里,服务器和终端属于两个不同的安全域,安全域的划分没有严格的标准,根据实际网络情况自行划分。


     介绍安全域主要是为了更好的介绍防火墙功能及部署。网络安全建设,安全域的划分非常重要,不通安全域将采用不通的安全策略,不同级别的安全策略直接影响到安全设备的部署及配置。


防火墙基本定义:防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使安全域与安全域之间建立起一个安全网关。


防火墙功能:

     路由功能:静态路由、动态路由、策略路由、ISP路由等。


     NAT功能:将内部网络的私有IP地址转换为公有IP地址。


     端口映射:就是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务。当用户访问该IP的这个端口时,自动将请求映射到对应局域网内部的机器上。


注:端口映射可以做一对一映射,也可以做多对一映射,但是不能做一对多映射。一对一端口映射可以使用相同端口,如使用外网80端口映射内网服务器80端口,也可以使用不同端口映射,如使用外网10080映射内网80端口。80端口和8080端口需要备案,不备案的端口即使做了端口映射和安全策略也是不通的。


     安全策略:通过对源地址、目的地址、服务、时间、允许/阻止等内容进行配置做相关安全访问策略。


     带宽管理:流控功能(简单的用用还行,要像管理效果好,还是要使用专门的流控设备)


     会话管理:对通过防火墙设备会话经行统计、分析、控制等      


     VPN功能: IPSEC VPN SSL VPNPPTP L2TP GRE


     其他功能: 病毒防护、入侵防护、漏洞扫描、上网行为管理。


以上功能根据厂家不同功能模块也会有所不同,请根据实际情况选择。现在防火墙已具备所有路由器功能,所以很多时候可以用防火墙直接替换路由器,新建网络直接用防火墙做出口。


防火墙部署:

      路由模式:多用于出口部署配置NAT、路由、端口映射。此模式下防火墙所有功能均可以正常使用。


      透明模式:多用于串连与网络中,对两个不通安全域做边界防护。此模式下端口映射功能、NAT功能、VPN功能无法使用。  

     

      旁路模式:使用场景较少,代替VPN设备使用时旁路部署


    路由模式与透明模式,部署场景也需要根据实际情况来选择,路由模式需要对网络进行改动,透明模式对当前网络无需进行改动,透明模式下部分功能无法使用。





防火墙双机热备: 主主、主备


防火墙应用场景:


       出口网关:比较常见的使用场景,使用防火墙在互联网出口处,提供NAT、路由、端口映射等功能。


       安全域边界防护:专网或大型网络内对各个不同安全域进行隔离防护。


       IPSEC VPN:两台或两台设备之间使用IPSEC VPN进行互联,多用于总部与分支网络使用。


防火墙参数:


     设备吞吐量:设备传输数据量,对应到具体设备选型时关注的参数为带宽


     设备并发连接数:能够同时处理的点对点连接的最大数目,对应到具体设备选型时关注的参数为同时在线人数


     设备新建连接数:防火墙一秒内创建的连接数



设备接口: 设备配备的电口、光口、等物理接口


设备选型方面,没有特殊要求,设备接口数都可以满足需要,如果有特殊需要购买前需要提前沟通、主要关注设备吞吐量与并发连接数两个参数,选择时需要考虑以后网络扩容,避免重复购买。


通过上面详细的一些介绍,希望可以帮助大家了解更多防火墙基本知识,介于防火墙排名可能会有软文嫌疑,请自行百度。




EqLlyHJ5w6