一.網(wǎng)絡(luò)防火墻的作用：

1. 在內(nèi)網(wǎng)和外網(wǎng)之間搭建一個(gè)防火墻，用來防止外部黑客或者用戶不希望的用戶對(duì)內(nèi)網(wǎng)服務(wù)進(jìn)行訪問。

2. 在內(nèi)網(wǎng)中，重要、敏感信息資源和內(nèi)網(wǎng)之間搭建一個(gè)防火墻，對(duì)內(nèi)網(wǎng)中用戶進(jìn)行訪問權(quán)限控制。避免無權(quán)訪問的人員隨意進(jìn)行訪問。

3. 可以對(duì)內(nèi)網(wǎng)中的主機(jī)外連進(jìn)行控制，限制內(nèi)網(wǎng)主機(jī)訪問不希望訪問的網(wǎng)站，例如暴力、色情網(wǎng)站等。

二、防火墻一般部署在網(wǎng)絡(luò)的進(jìn)出口上

對(duì)訪問的數(shù)據(jù)包進(jìn)行判斷，是否符合我們制定的安全策略，又稱安全網(wǎng)關(guān)

三、防火墻控制的五元組

1.五元組：目的端口、原端口、目的IP、原IP、協(xié)議號(hào)

2.防火墻通過控制上述**五元組**達(dá)到控制訪問的目的

四、訪問控制列表ACL（Access? Control? List）

1.標(biāo)志IP訪問控制列表：Access-list（*名稱*）? [list-number（*列表序號(hào)*）]? [permit（*接受*）|deny（*拒絕*）] [source-address（*IP地址*）] [wildcard-mask（*子網(wǎng)掩碼*）] [log]

2.擴(kuò)展的IP訪問控制列表：Access-list（*名稱*）? [list-number（*列表序號(hào)*）]? [permit（*接受*）|deny（*拒絕*）] [protocol（*協(xié)議*）][source-address（*源IP地址*）] [source-mask（*源IP掩碼*）]? [source-port（*源IP端口*）] [destination-address（*目的IP地址*）]? [destination-mask（*目的IP掩碼*）] [destination-port（*目的IP端口*）] [log] [option]

五、ACL規(guī)則的匹配原則

1.ACL按照列表順序，從上到下依次匹配，一旦有一條匹配，結(jié)束匹配，并執(zhí)行相應(yīng)規(guī)則

2.如果所有規(guī)則均未匹配成功，則數(shù)據(jù)包將被丟棄

3.安全規(guī)則主要包含：源、目的地址和端口，TCP標(biāo)志位，應(yīng)用時(shí)間以及一些高級(jí)過濾選項(xiàng)

六、防火墻工作方式

工作方式1：包過濾

包過濾防火墻：單個(gè)數(shù)據(jù)包傳輸?shù)椒阑饓Γ阑饓z測該包的五元組特征與ACL匹配規(guī)則，如果匹配成功，則執(zhí)行相應(yīng)策略。不設(shè)立內(nèi)容緩存區(qū)，不關(guān)心傳輸內(nèi)容，只通過算法進(jìn)行包頭數(shù)據(jù)對(duì)比檢查。

優(yōu)點(diǎn)：簡單易行，處理速度快。

缺點(diǎn)：單包處理，只檢查包頭。前后數(shù)據(jù)包無邏輯關(guān)系，不能發(fā)現(xiàn)通信中插入或漏缺的數(shù)據(jù)包，也不能發(fā)現(xiàn)假冒者的數(shù)據(jù)包，易遭受DDOS攻擊。

工作方式2：狀態(tài)監(jiān)測

1.狀態(tài)監(jiān)測型防火墻組成：狀態(tài)監(jiān)測防火墻 + 包過濾防火墻

2.狀態(tài)監(jiān)測防火墻：根據(jù)TCP/IP相關(guān)的協(xié)議規(guī)則，進(jìn)行協(xié)議連接的狀態(tài)監(jiān)測，針對(duì)每一個(gè)連接都建立一個(gè)狀態(tài)跟蹤，發(fā)現(xiàn)狀態(tài)不匹配時(shí)，則不轉(zhuǎn)發(fā)此數(shù)據(jù)包。

3.運(yùn)行過程：首先經(jīng)過狀態(tài)監(jiān)測防火墻，檢查該**數(shù)據(jù)包是否包含在狀態(tài)監(jiān)測表中**。

是，則通過。

↓

否，則需判斷是否為新建立連接產(chǎn)生的數(shù)據(jù)包，進(jìn)入包過濾防火墻。檢查該數(shù)據(jù)包**是否通過安全過濾規(guī)則匹配**。

↓

是，則通過。|| 否，則丟棄。

工作方式3：應(yīng)用代理

應(yīng)用網(wǎng)關(guān)防火墻：對(duì)每一個(gè)應(yīng)用建立一個(gè)代理，訪問者進(jìn)行訪問時(shí)，建立從訪問者到防火墻的連接，再由防火墻建立從防火墻到網(wǎng)絡(luò)資源的連接。

優(yōu)點(diǎn)：防火墻成為訪問的中間代理人，中斷了訪問者與服務(wù)器之間的直接連接，可避免對(duì)

服務(wù)器的直接入侵。即“協(xié)議落地”

缺點(diǎn)：只是應(yīng)用層的代理，需要與包過濾和、狀態(tài)過濾技術(shù)一起使用。兩邊分別建立連接，設(shè)置緩沖區(qū)。緩沖時(shí)間長，速度慢，延遲大。

七、防火墻性能→防火墻設(shè)備的重要指標(biāo)

1.吞吐量：不丟包的情況下，單位時(shí)間內(nèi)通過的數(shù)據(jù)包數(shù)量。

2.時(shí)延：數(shù)據(jù)包第一個(gè)比特進(jìn)入防火墻，到最后一個(gè)比特從防火墻輸出的時(shí)間。

3.丟包率：通過防火墻傳送時(shí)所丟失的數(shù)據(jù)包數(shù)量占所發(fā)送數(shù)據(jù)包的比率。

4.并發(fā)連接數(shù)：防火墻能夠同時(shí)處理的點(diǎn)對(duì)點(diǎn)連接的最大數(shù)目。（狀態(tài)防火墻）

5.新建連接數(shù)：在不丟包的情況下每秒可以建立的最大連接數(shù)。（狀態(tài)防火墻）

注：

端口升級(jí)與虛擬化，需要更強(qiáng)的處理能力。

”策略硬件化”，是提高防火墻性能的主要方法。