传输层

设备：防火墙

作用：网络隔离（区域隔离）

防火墙基本概念

防火墙的定义--一款具备安全防护功能网络设备

• 隔离网络：将需要保护的网络与不可信任网络进行隔离；隐藏信息并进行安全防护

防火墙基本功能

• 访问控制

• 攻击防护(三层、四层居多)

• 冗余设计

• 路由、交换

• 日志记录

• 虚拟专网VPN

• NAT

区域隔离

防火墙区域概念：

• 内部区域（Inside/trust）

• DMZ区域（服务器区）：称为“隔离区”，也称为“非军事化区域/停火区”

• 外部区域（Outside/untrust）

防火墙分类

• 按防火墙形态

  1. 软件防火墙（一般个人PC）

  2. 硬件防火墙（一般公司）

• 按技术实现

  1. 包过滤防火墙

  2. 状态检测包过滤防火墙

  3. 应用（代理）防火墙

  4. WAF防火墙（WEB应用防火墙）

  5. 应用层服务器

发展历史

• 包过滤防火墙

  最早防火墙技术之一，功能简单、配置复杂

• 应用网关/应用代理防火墙

  最早防火墙技术之二，连接效率低、速度慢

  内部员工访问防火墙；防火墙访问Internet（两个会话、目的隐藏内网、过滤）

• 状态检测防火墙

  现代主流防火墙，速度快、配置方便、功能较多

  通过顺序：状态检测--策略--...

• DPI防火墙（Deep Packet Inspection）

  未来防火墙的发展方向，能够高速的对第七层数据进行检测

衡量防火墙性能的五大指标

1. 吞吐量：在不丢包的情况下单位时间内通过的数据包数量

2. 时延：数据包第一个比特进入防火墙到最后一比特从防火墙输出的时间间隔

3. 丢包率：通过防火墙传送时所丢失数据包数量占所发送数据包的比率

4. 并发连接数：防火墙能够同时处理的点对点连接的最大数目

5. 新建连接数：在不丢包的情况下每秒可以建立的最大连接数

防火墙的工作模式

标准应用

1. 透明模式

   • 作用：透明模式/桥模式一般用于用户网络已经建设完毕，网络功能基本已经实现的情况下，用户需要加装防火墙已实现安全区域隔离的要求

   • 一般将网络分为内部网、DMZ区和外部网

   • 布置在二层

2. 路由模式

   SNAT--源地址转换； DNAT--目标地址转换

3. 混杂模式

   一般网络情况为透明模式和路由模式的混合

HA

目的：让两个防火墙互为备份

两个防火墙之间的“线”称为“心跳线”：

• 作用1：检测对方是否“active”

• 作用2：同步备份

VRRP