网络安全包括基础设施安全、边界安全和管理安全等全方位策略;
防火墙的主要作用是划分边界安全,实现关键系统和外部环境的安全隔离,保护内部网络免受外部共计;
与路由器相比,防火墙提供了安全策略,且在安全策略下更快地转发;
按照实现方式,firewall分为:
包过滤防火墙:根据特定规则过滤数据包,简单,不灵活,性能低
代理型防火墙:对server来说防火墙是一个client,安全性高,开发代价大,针对特定应用,不能支撑很丰富的业务
状态监测防火墙:主流,高性能、高安全,基于协议监控;基于TCP/UDP链接的连接状态来动态地决定报文是否可以通过
软件防火墙、工控机类型防火墙(PC硬件)、电信级硬件防火墙、基于NP电信级防火墙(基于网络处理器NP)
ASPF基于状态的报文过滤
ACL访问控制列表
防火墙性能指标:
吞吐量 考察小包转发下性能和大量规则下转发性能
每秒建立连接速度 即每秒钟可以通过防火墙建立起来的完整TCP连接
并发连接数目 可以容纳的最大连接数
除了路由器之外,现在都可以虚拟化,路由器虚拟化还不成熟
华为Eudemon防火墙的区域:local区域、Trust区域、DMZ(非军事化)区域、UnTrust区域、Vzone(虚拟)区域
安全优先级分别为100,85,50,5,0
此外,用户可自定义安全区域并定义其等级,最多16个安全区域
域间的数据流分两个方向:
入方向inbound:数据由低级别的安全区域向高级别的安全区域传输的方向
出方向outbound:反之
防火墙三种工作模式:
路由模式 透明模式 混合模式