防火墙基本概念

防火墙是一款具有安全防护功能的网络设备，保护一个网络区域避免另一个网络区域的攻击和入侵。

物理防火墙（物理设备）、软件防火墙（Windows自带firewall）

其本职工作是隔离网络

基本功能

• 会话管理
• 内网安全管控
• 入侵防护
• 内容安全过滤
• 防病毒（需要更新病毒库）

1. 什么是会话

   客户端和服务器通过（TCP/UDP）建立连接后，到通信结束的整个过程，就是一个会话期。在一个会话中，一般包含两个数据流（C to S 和 S to C）。

2. SYN检查

   同步序列编号（Synchronize Sequence Numbers）。是TCP/IP建立连接时使用的握手信号。TCP连接的第一个包。

   SYN攻击就是发送了大量伪造的TCP连接请求，使得被攻击方资源耗尽。它在发出SYN，收到服务器的SYN/ACK的应答包后，不去发送最后一个ACK包。导致会话并没有真正建立起来，而这些半连接状态都被保存在缓存队列里，最终导致服务器端资源耗尽。

   SYN检查就是在还没有会话信息时，一条非SYN消息的TCP数据包到达防火墙，会被当做非法消息舍弃。

3. 会话生存时间

   在防火墙中会维护一个会话信息表，用来记录每一组会话。当一组会话长时间没有通信时，防火墙会把这组会话删除，因为会话表中会话项是有限的，长时间保留会占资源。等需要通信时再重新建立会话。

   这样也能够防范Dos攻击，并且控制防火墙的负载

4. 访问控制列表

   访问控制列表（ACL），表中的表项主要有三部分组成：匹配项、行为、选项。

   每一条控制规则都有相应的编号。

   匹配项：基本的ACL是以源IP地址为匹配项；而高级的ACL匹配项可以是源IP地址、目的IP地址、端口号等

   行为：permit/deny

   选项：指定表项的有效时间等

防火墙和交换机、路由器区别

• 交换机是用来连接局域网的，处于中继层（二层），根据MAC地址寻址。可作为端口扩展

• 路由器主要将交换机组成的局域网接入internet，处于网络层（三层），根据IP地址寻址，可提供防火墙功能
  

• 防火墙通过流量控制和安全防护。隔离出不同的安全区域
  

防火墙分类

• 包过滤防火墙：针对五元组（源IP地址，源端口，目的IP地址，目的端口和传输层协议）进行数据包的安全过滤通过配置ACL(Access Control List)实现数据包的过滤。
  
  

  特点：

  1. 需要对每个数据包排查，效率低
  2. ACL规则难以适应动态需求，对于一些多通道协议（FTP/SIP等），无法预知其安全策略
  3. 无法检测来自传输层和应用层的攻击

• 状态防火墙：包括包过滤防火墙的功能，同时追踪数据包的每个状态（维护一个状态检查表），检测的是连接状态而不是每个报文。通过安全规则和状态表共同配合来决定数据包的去留。