2022.7.19 防火墙知识点

一、防火墙定义

防火墙（Firewall），也称防护墙，是由Check Point 创立者Gil Shwed于1993 年发明并引入国际互联网（US5606668（A）1993-12-15）。

它是一种位于内部网络与外部网络之间的网络安全系统。是一项信息安全的防护系统，依照特定的规则，允许或是限制传输的数据通过。

在网络的世界里，要由防火墙过滤的就是承载通信数据的通信包。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。

防火墙允许授权的数据通过，而拒绝未经授权的数据通信。网络防火墙是隔离内部网与Internet之间的一道防御系统，允许人们在内部网和开放的Internet之间通信。访问者必须首先穿越防火墙的安全防线，才能接触目标计算机。

在没有防火墙时，局域网内部的每个节点都暴露给Internet上的其它主机，此时内部网的安全性要由每个节点的坚固程度来决定，且安全性等同于其中最薄弱的节点。使用防火墙后，防火墙会将内部网的安全性统一到它自身，网络安全性在防火墙系统上得到加固，而不是分布在内部网的所有节点上。

二、防火墙的组成

防火墙既可以是一台路由器、一台PC或者一台主机，也可以是由多台主机构成的体系。应该将防火墙放置在网络的边界。网络边界是一个本地网络的整个边界，本地网络通过输入点和输出点与其它网络相连，这些连接点都应该装有防火墙，然而在网络边界内部也应该部署防火墙，以便为特定主机提供额外的、特殊的保护。

三、防火墙的工作原理

防火墙的原理是指设置在不同网络（如可信任的企业内部网和不可信的公共网）或网络安全域之间的一系列部件的组合。
它是不同网络或网络安全域之间信息的唯一出入口，通过监测、限制、更改跨越防火墙的数据流，尽可能地对外部屏蔽网络内部的信息、结构和运行状况，有选择地接受外部访问。
对内部强化设备监管、控制对服务器与外部网络的访问，在被保护网络和外部网络之间架起一道屏障，以防止发生不可预测的、潜在的破坏性侵入。
防火墙有两种，硬件防火墙和软件防火墙，都能起到保护作用并筛选出网络上的攻击者。
防火墙通常使用的安全控制手段主要有包过滤、状态检测、代理服务，包过滤技术是一种简单、有效的安全控制技术。
它通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则，对通过设备的数据包进行检查，限制数据包进出内部网络。

四、防火墙的分类

按防火墙形态：软件防火墙、硬件防火墙。

按技术实现：1.包过滤防火墙：最简单的防火墙技术之一，功能简单，配置复杂。

                      2.状态检测防火墙：现代主流防火墙，速度快，配置简单，功能多。

                      3.应用（代理）防火墙：最早的技术之一，效率低，速度慢，安全性高。

                      4.WAF防火墙：web应用防火墙。

                      5.应用层防火墙：对应用层数据进行防护。

五、防火墙的基本功能

1.作为一个中心“遏制点”，将内部网的安全管理集中起来，所有的通信都经过防火墙。

2.只放行经过授权的网络流量，屏蔽非法请求，防止越权访问,并产生安全报警。

3.能经受得起对其自身的攻击。

六、防火墙的常见厂商及介绍

1.Juniper/NetScreen

NetScreen由三位留美的清华学子创建，其防火墙和VPN产品无论从性能指标还是质量上都位居世界前列。其防火墙产品的具体功能特性为：拥有专用的操作系统ScreenOS、拥有专门优化的硬件增强技术、集成VPN、灵活的流量管理、基于ASIC的访问策略的执行、管理简单快捷。

2.Cisco

非常有名的网络公司，其安全产品特性如下：

1>可在单一设备中集成丰富的安全服务。

2>使用专用的安全操作系统，消除了各种安全风险，提高可靠性。

3>安全功能强大，可综合利用各种先进技术。

4>支持IKE和IPSec VPN标准。

5>融合了入侵检测的功能。还可与思科网络入侵解决方案相集成，构成统一的网络防护体系。

提供动态或者静态的网络地址解析（NAT）和端口地址解析（PAT）功能。

用户可灵活地实现联网功能而且与PPPoE(PPP Over Ethernet)网络兼容。

管理方便、快捷，手段灵活。

提供了较强的可管理性和可审计性。

3.CheckPoint

CheckPoint公司是全球首屈一指的互联网安全解决方案供应商，是Internet安全领域的全球领先企业，在全球VPN及防火墙市场上居于领导地位。

CheckPoint公司防火墙产品具有如下特性：

1>状态检测技术。

2>OPSEC（Open Platform for Secure Enterprise Connectivity）。

3>增强的身份认证（包括用户认证、客户认证和会话认证三种方法）。

4>加密。

5>内容安全。

4.Fortinet

Fortinet是新一代网络实时安全防御网关的技术引领者。首家推出基于ASIC硬件体系结构的FortiGate防火墙。该系列产品已获得国际计算机安全协会实验室的防病毒、IPSec、NIDS和防火墙四项认证证书，是全球唯一同时拥有这四项证书的厂家。

FortiGate系列防火墙产品的功能特性如下：

1>病毒检测与蠕虫防御。

 2>状态检测。

 3>实现了实时的、基于网络的IDS/阻断。

 4>虚拟专用网（VPN）。

 5>支持内容过滤。

 6>提供了多种管理配置手段。

 7>具有较强大的日志记录与分析功能。

5.WatchGuard

WatchGuard公司是全球排名前五位的专业生产防火墙的公司之一。WatchGuard公司以生产即插即用Internet安全设备“Firebox”系列和相应的服务器安全软件而闻名于世。

WatchGuard在全球首创了专用安全系统；首家将应用层安全结合到防火墙系统中；首创了可全面升级的整合安全网关；首创可全面升级的统一威胁管理（UTM）产品。

6.安氏

安氏是一家以技术著称的专业信息安全公司，它成功开发了全新一代安全管理解决方案——安全运行中心（Security Operation Center, 简称SOC）。

安氏公司在电信、金融等行业率先推出了整体信息安全管理方案，其主要产品是“领信”系列安全产品。

7.天融信

天融信公司于1996年推出了中国第一套自主版权的防火墙产品，具有填补国内空白的重要意义。随后几年又推出了VPN、IDS、过滤网关、安全审计、安全管理等一系列安全相关产品。2001年组织并构建了TOPSEC联动协议安全标准，提出了一套集各类安全产品和集中管理、集中审计为一体的TOPSEC安全解决方案。又于2004年底率先提出“可信网络架构（TNA）”，强化可信安全管理在安全建设中的核心地位，通过全局安全管理，实现多层次的积极防御和综合防范。

天融信公司的银河防火墙（NGFW4000-UF TG-5736）是国内首款具备万兆网络接入能力的防火墙产品。网络卫士猎豹系列防火墙则采用了真正拥有的具有国产知识产权的新一代可编程安全芯片。

8.东欧

东软是中国领先的软件与解决方案提供商。

东软的NetEye防火墙(FW)产品采用独创的基于状态包过滤的“流过滤”体系结构，保证了从数据链路层到应用层的完全高性能过滤，并可以进行应用级插件的及时升级和安全威胁的有效防护，实现网络安全的动态保障。

NetEye防火墙采用NP架构，运行于NetEye安全操作系统之上，具有高吞吐量、低延迟、零丢包率和强大的缓冲能力。同时NetEye防火墙集成VPN功能，简单及人性化的虚拟通道设置，有效提高了VPN的部署灵活性、可扩展性，降低了部署维护的成本。

9.启明星辰

采用高性能X86硬件架构 一体化网关技术
1996年成立的启明星辰，承担国家级重点项目企业，拥有国家级网络安全技术研发基地。2003年，成为国内仅有的两家可以查看微软Windows操作系统源代码厂商之一。截至2007年，启明星辰共发布了59个windows、linux、unix操作系统的安全漏洞，居亚洲首位，用户遍及32个省、市。
网络安全产品共有七大系列，其中推出新一代的UTM产品——天清汉马USG一体化安全网关。采用高性能的硬件架构和一体化的软件设计，集防火墙、×××、***防御(IPS)、防病毒、外联控制、抗拒绝服务***(Anti-DoS)、内容过滤、反垃圾邮件、NetFlow等多种安全技术于一身。目前，产品涉及从大型企业、电信级千兆骨干网到小型分支机构的百兆型网络的USG10个产品。

10.联想网御

Power V 产品系列多 万兆级网关—KingGuard
联想网御1999年进入信息安全行业，拥有众多的核心技术、专利50项，涵盖全系列防火墙、×××、UTM、IDS、IPS、防病毒网关、安全隔离网闸、安全管理共计8个大类，350多款产品，并参与和制定了多项国家安全等级保护制度。2007年，率先推出“下一代安全架构”的技术。并在08年一举收购了艾克斯通公司(SSL ×××专业厂商)，还是国内较早发布了万兆安全网关产品以及万兆的UTM解决方案的厂商。
联想网御防火墙分为三大系列：Spuer V、Power V、Smart V，共计40多款。拥有创新的VSP、USE、MRP等安全关键技术，其产品在众多领域已经部署了4万台以上，市场占有率名列前茅。今年6月，联想网御发布了万兆级安全网关产品——金刚安全网关KingGuard。该款产品成为迄今为止业界处理性能最高的万兆安全网关产品，它首创在信息安全产品中应用矩阵式并行计算系统——Windrunner。 

11.华为

技术为主，质量有保障。
华为业务领域涉猎众多，在网络安全方面，Eudemon 防火墙系列产品基于电信级的硬件平台以及专用VRP软件平台，在***防范、×××、NAT以及P2P应用监控等方面都有卓越的表现。基于网络处理器NP的高速防火墙Eudemon 300/500/1000和专业的硬件平台以及VRP软件平台的Eudemon 100E/200/200S。值得一提的是，华为的Eudemon 防火墙无故障间隔时间为37年。

七、防火墙的主要优点
1>防火墙可以通过执行访问控制策略而保护整个网络的安全，并且可以将通信约束在一个可管理和可靠性高的范围之内。
2>防火墙可以用于限制对某些特殊服务的访问。
3>防火墙功能单一，不需要在安全性，可用性和功能上做取舍。
4>防火墙有审记和报警功能，有足够的日志空间和记录功能，可以延长安全响应的周期。

八、防火墙的主要缺点
1>不能防御已经授权的访问，以及存在于网络内部系统间的攻击。
2>不能防御合法用户恶意的攻击.以及社交攻击等非预期的威胁。
3>不能修复脆弱的管理措施和存在问题的安全策略。
4>不能防御不经过防火墙的攻击和威胁。

九、防火墙发展趋势

未来防火墙的发展趋势是朝高速、多功能化、更安全的方向发展。

从国内外历次测试的结果都可以看出，目前防火墙一个很大的局限性是速度不够。应用ASIC、FPGA和网络处理器是实现高速防火墙的主要方法，其中以采用网络处理器最优，因为网络处理器采用微码编程，可以根据需要随时升级，甚至可以支持IPV6，而采用其它方法就不那么灵活。

实现高速防火墙，算法也是一个关键，因为网络处理器中集成了很多硬件协处理单元，因此比较容易实现高速。对于采用纯CPU的防火墙，就必须有算法支撑，例如ACL算法。目前有的应用环境，动辄应用数百乃至数万条规则，没有算法支撑，对于状态防火墙，建立会话的速度会十分缓慢。

受现有技术的限制，目前还没有有效的对应用层进行高速检测的方法，也没有哪款芯片能做到这一点。因此，防火墙不适宜于集成内容过滤、防病毒和IDS功能(传输层以下的IDS除外，这些检测对CPU消耗小)。对于IDS，目前最常用的方式还是把网络上的流量镜像到IDS设备中处理，这样可以避免流量较大时造成网络堵塞。此外，应用层漏洞很多，攻击特征库需要频繁升级，对于处在网络出口关键位置的防火墙，如此频繁地升级也是不现实的。

这里还要提到日志问题，根据有关标准和要求，防火墙日志要求记录的内容相当多。随着网络流量越来越大，庞大的日志对日志服务器提出了很高的要求。目前，业界应用较多的SYSLOG日志，采用的是文本方式，每一个字符都需要一个字节，对防火墙的带宽也是一个很大的消耗。二进制日志可以大大减小数据传送量，也方便数据库的存储、加密和事后分析。所以，支持二进制格式和日志数据库，是未来防火墙日志和日志服务器软件的一个基本要求。

多功能也是防火墙的发展方向之一，鉴于目前路由器和防火墙价格都比较高，组网环境也越来越复杂，一般用户总希望防火墙可以支持更多的功能，满足组网和节省投资的需要。例如，防火墙支持广域网口，并不影响安全性，但在某些情况下却可以为用户节省一台路由器;支持部分路由器协议，如路由、拨号等，可以更好地满足组网需要;支持IPSEC VPN，可以利用因特网组建安全的专用通道，既安全又节省了专线投资。

未来防火墙的操作系统会更安全。随着算法和芯片技术的发展，防火墙会更多地参与应用层分析，为应用提供更安全的保障。

最后

以上就是要减肥枫叶为你收集整理的2022.7.19 防火墙知识点的全部内容，希望文章能够帮你解决2022.7.19 防火墙知识点所遇到的程序开发问题。

如果觉得靠谱客网站的内容还不错，欢迎将靠谱客网站推荐给程序员好友。