1、防火墙基本定义:
防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使安全域与安全域之间建立起一个安全网关 。
2、防火墙功能:
【什么是防火墙?防火墙基础知识介绍】路由功能:静态路由、动态路由、策略路由、ISP路由等 。
NAT功能:将内部网络的私有IP地址转换为公有IP地址 。
端口映射:就是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务 。当用户访问该IP的这个端口时 , 自动将请求映射到对应局域网内部的机器上 。
安全策略:通过对源地址、目的地址、服务、时间、允许/阻止等内容进行配置做相关安全访问策略 。
带宽管理:流控功能(简单的用用还行,要像管理效果好,还是要使用专门的流控设备)
会话管理:对通过防火墙设备会话经行统计、分析、控制等
VPN功能: IPSEC VPN 、SSL VPN、PPTP 、L2TP 、GRE等
其他功能: 病毒防护、入侵防护、漏洞扫描、上网行为管理 。
以上功能根据厂家不同功能模块也会有所不同,请根据实际情况选择 。现在防火墙已具备所有路由器功能,所以很多时候可以用防火墙直接替换路由器,新建网络直接用防火墙做出口 。
3、防火墙部署:
路由模式:多用于出口部署配置NAT、路由、端口映射 。此模式下防火墙所有功能均可以正常使用 。
透明模式:多用于串联与网络中,对两个不通安全域做边界防护 。此模式下端口映射功能、NAT功能、VPN功能无法使用 。
旁路模式:使用场景较少,代替VPN设备使用时旁路部署 。
路由模式与透明模式,部署场景也需要根据实际情况来选择 , 路由模式需要对网络进行改动,透明模式对当前网络无需进行改动,透明模式下部分功能无法使用 。
4、防火墙双机热备: 主主、主备
传统组网中,只有一台防火墙部署在出口 , 当防火墙出现故障后,内部网络中所有以防火墙作为默认网关的主机与外部网络之间的通讯中断,通讯可靠性无法保证 。
双机热备份技术的出现改变了可靠性难以保证的尴尬状态,通过在网络出口位置部署两台或多台网关设备,保证了内部网络于外部网络之间的通讯畅通 。
防火墙作为安全设备,一般会部署在需要保护的网络和不受保护的网络之间 , 即位于业务接口点上 。在这种业务点上,如果仅仅使用一台防火墙设备 , 无论其可靠性多高,系统都可能会承受因为单点故障而导致网络中断的风险 。为了防止一台设备出现意外故障而导致网络业务中断,可以采用两台防火墙形成双机备份 。
5、防火墙参数:
设备吞吐量:设备传输数据量,对应到具体设备选型时关注的参数为带宽
设备并发连接数:能够同时处理的点对点连接的最大数目,对应到具体设备选型时关注的参数为同时在线人数
设备新建连接数:防火墙一秒内创建的连接数
设备接口: 设备配备的电口、光口、等物理接口
设备选型方面,没有特殊要求 , 设备接口数都可以满足需要,如果有特殊需要购买前需要提前沟通、主要关注设备吞吐量与并发连接数两个参数 , 选择时需要考虑以后网络扩容,避免重复购买 。
6、防火墙应用场景:
出口网关:比较常见的使用场景 , 使用防火墙在互联网出口处,提供NAT、路由、端口映射等功能 。
安全域边界防护:专网或大型网络内对各个不同安全域进行隔离防护 。
IPSEC VPN:两台或两台设备之间使用IPSEC VPN进行互联,多用于总部与分支网络使用 。