|
一.背景: 防火墙在企业现代网络安全架构中是必不可少的一份子,他的作用类似于每个小区的保安,负责时刻检查来来往往的进出人员,之前发表的分享基本都是和某公司产品相关的一些技术,我们自己本身接触比较多的也就是排障部署等相关的东西,对于防火墙本身可能是第一次学过以后就再也没有学过新的东西或者其原理,今天主要就防火墙的发展讲述一下所谓的“下一代防火墙”这个概念和相关的技术原理 二.论点: 防火墙的发展历史及技术原理 三.防火墙的发展历史 1)防火墙的发展 早起防火墙起源于20世纪80年代末期,距今已有二十多年历史,防火墙的发展大致可以分为如下三个阶段 a. 1989年产生了包过滤防火墙,实现简单的访问控制,称之为第一代防火墙 b. 随后出现了代理防火墙,在应用层代理内部网络和外部网络之间的通信,属于第二代防火墙 c. 1994年CheckPoint(以色列)发布第一天基于状态检测技术的防火墙,分析报文的状态采取动作,处理速度快且安全性高,状态检测防火墙被成为第三代防火墙 d. 2004年业界提出了UTM(统一威胁管理)的概念,将传统防火墙,入侵检测,防病毒,URL过滤,应用程序控制,邮件过滤等相关功能融合到一台防火墙上,实现全面的安全防火 e. 2004年UTM提出之后得到了快速的市场响应,但同时也面临多个问题,例如针对应用层信息的检测程度,性能问题等 f. 2008年Palo Alto Networks(美国)公司率先发布了下一代防火墙,解决了UTM的大多数问题,并且增加了多个实用的功能,09年Gartnet对下一代防火墙进行了明确的定义,随后各个厂商发布了各自的下一代防火墙 四.防火墙的技术原理 1)传统防火墙(包过滤防火墙) 工作层次——3/4层(七层模型)
工作原理——手工,类似ACL控制数据包,五元组,实现单向访问
优点: ①仅处理3/4层,简单快捷。
缺点: ①ACL多且复杂,手工配置,不能随需求自动修改;
②不能识别通信状态进行控制;
③不能防范应用层攻击;
④是默认策略,没有明显允许就是禁止。 2)状态检测防火墙 工作层次——3/4/5层
工作原理——维持会话表通信状态;会话表包括五个元素(源目的IP,源目的端口,协议号)
优点: ①可以识别会话状态控制通信;
②能动态生成放通回程报文的策略。
缺点: ①不能防范应用层攻击、应用data不能检测、对FTP等多连接应用兼容性差。 3)应用代理防火墙 工作层次——3/4/5/7层
工作原理——应用数据data检查:动态协商的端口、URL、 ftp操作指令、http请 求方法等,允许动态通道(端口都是随机动态协商的,如FTP )的数据进入防火墙。
优点: ①可以检测应用层数据,防范简单的应用层攻击;
缺点: ①软件处理,消耗资源。 4)下一代防火墙 ①包括传统防火墙的基本防护功能(包过滤、状态检测、应用代理) ②增强应用识别与控制(深度内容识别,即DPI技术):[color=rgba(0, 0, 0, 0.75)]将数据中的应用层特征与本地的应用特征库进行匹配(应用特征库会定期更新) ③web攻击防护:将数据中的URL地址与本地的URL库进行匹配(URL库会定期更新) ④信息泄露防护 ⑤恶意代码防护:将数据的特征与本地的病毒库进行匹配(病毒库会定期更新) ⑥入侵防御:将数据流的特征与本地的IPS入侵检测库进行匹配(IPS入侵检测库会定期更新) 五.总结 1)防火墙的访问控制越来与精确,从最初的简单访问控制到基于会话的访问控制,再到下一代基于用户,应用,内容来进行访问控制。 2)防火墙的防护能力越来越强,从早期的隔离功能,到逐渐增加了IPS,防病毒,URL过滤,应用程序控制,邮件文件杀毒等,防护手段和范围也越来越广。 3)防火墙的处理性能越来越高,各个厂商不断对防火墙的软硬件架构进行改进和完善,使防火墙的处理性能不断提高。 4)下一代防火墙并不是终结,随着技术的进步,市场的需求,防火墙会变得更加高级和更加智能化。
| 
楼主
QQ好友和群
QQ空间
腾讯微博
腾讯朋友
发表于 2021-1-31 20:36
技术员2级 
