防火墙
概述
定义
- 防火墙(Firewall)是一种隔离技术,使内网和外网分开,可以防止外部网络用户以非法手段通过外部网络进入内部网络,保护内网免受外部非法用户的侵入。
作用
-
防止因特网的危险传播到私有网络。
-
在网络内部保护大型机和重要的资源(如数据)。
-
控制内部网络的用户对外部网络的访问。
安全区域
- trust:受信任区,内网主机与设备存在于该区域,优先级较高;
- dmz:非军事化管理器(隔离区),可能存在被攻击的主机与设备存在于该区域,一般用于存放服务器,优先级介于trust和untrust之间;
- untrust:非信任区,外网主机与设备存在该区域,优先级较低;
- local:当前设备,优先级默认最高为15;
入栈与出栈
入栈(inbound)
- 低优先级访问高优先级的流量;
出栈(outbound)
- 高优先级访问低优先级的流量;
分类
包过滤的防火墙
- 实现是数据在第三层和第四层的信息进行过滤(依据是网络五元组:源|目的IP,源|目的端口,协议)
状态监测防火墙
- 在包过滤防火墙的基础上加入了状态会话表。流量正常从防火墙放行后,会话信息会被记录到状态会话表中,后续使用该会话的流量就直接放行。相对于包过滤防火墙来说,效率更高。
WEB应用防火墙WAF(web application firewall)
-
具备基本防火墙的功能(包过滤),还可以针对http和https流量进行进一步的检测分析。
-
WAF可以将http和https流量拆解到http协议的raw状态,所以可以对SQL头注进行检测。
防毒墙
- 具备基本防火墙的功能,增加了防病毒功能
多合一网关
- 在基本防火墙的基础上,增加了入侵检测、防病毒的功能
下一代防火墙(NGFW)
-
在基本防火墙的基础上,加入入侵检测、防病毒、web防护等功能
-
一次拆包多次检测
数据防火墙
- 在基本防火墙的基础上,加入了数据库防攻击的功能
应用场景
-
内网和外网之间,边界防火墙
-
放在内部网络中间,用于对重要资产进行保护,数据中心,web服务器
命令
#查看区域信息
dis firewall zone
#创建区域
firewall zone 区域名称
#设置区域优先级值(取值范围:[0,14])
priority 值
#将物理接口添加到安全区域
int g编号
zone 区域名称
#查看区域之间信息
dis firewall interzone
#启用各区域之间防火墙
firewall interzone 区域名称1 区域名称2
firewall enable
#创建ACL规则,实现防火墙流量控制
packet-filter ACL编号 inbound|outbound
