国际认证-锐捷认证-防火墙分类 (1).pptx

职业认证—锐捷认证

防火墙分类

版权说明本文档来自锐捷大学的教案内容。若作者对本资料的使用持有异议，请及时与本网站联系，我们将第一时间妥善处理。

防火墙的分类防火墙分类按照操作对象主机防火墙网络防火墙按照实现方式软件防火墙硬件防火墙按照过滤和检测方式包过滤防火墙状态防火墙应用网关防火墙地址转换防火墙透明防火墙混合防火墙

主机防火墙与网络防火墙主机防火墙位置优势低成本难于部署、维护缺乏透明度功能局限性示例MicrosoftICFNortonPersonalFirewall网络防火墙功能强大性能高透明度强成本高内部攻击保护性差示例RuijieRG-WALLJuniperNetscreenCiscoPIX/ASAFortinetFortiGate天融信NetGuard

软件防火墙与硬件防火墙软件防火墙应用层控制和检测功能丰富性能低自身安全性问题示例MicrosoftISASunScreenCheckPointFirewall硬件防火墙性能高自身安全性高易于维护缺乏高级功能示例RuijieRG-WALLJuniperNetscreenCiscoPIX/ASAFortinetFortiGate天融信NetGuard

包过滤防火墙无状态包过滤防火墙技术最基本的防火墙过滤方式根据L3/L4信息进行过滤源和目的IP协议ICMP消息和类型TCP/UDP源和目的端口处理速度快无法阻止应用层攻击部署复杂，维护量大部署方式作为Internet边界的第一层防线隐式拒绝，显示允许示例使用ACL过滤的路由器

包过滤防火墙（续）无状态包过滤防火墙示例

状态防火墙有状态包过滤防火墙技术与无状态包过滤防火墙执行相似的操作保持对连接状态的跟踪，状态表无需开放高端口访问权限不属于现有会话的访问将被拒绝检查更高级的信息TCPFlag、TCPSeq.更多的DoS防护特定应用层协议检测无状态协议的处理问题不能阻止应用层攻击状态表导致的系统开销部署方式作为主要的防御措施需要更加严格的控制

状态防火墙（续）无状态包过滤的问题有状态包过滤防火墙的实现跟踪连接的状态

状态防火墙（续）无应用层检测的状态防火墙

状态防火墙（续）支持应用层检测的状态防火墙动态协议检测（FTP、NetBIOS、SQLNET、SIP…..)检测应用层报头中的信息（应用层命令）

应用网关防火墙应用网关防火墙技术通常称为代理防火墙（ProxyFirewall）操作在L3/L4/L5/L7支持身份认证监控和过滤应用层信息通过软件处理支持的应用有限可能需要部署客户端软件部署方式作为主要的的防御措施需要更严格的身份及会话验证

应用网关防火墙（续）连接网关防火墙执行传统的应用网关防火墙检测方式直通代理防火墙（Cut-Through）简化的应用网关防火墙对于初始连接请求进行身份验证会话的后续信息执行L3/L4过滤更好的性能

地址转换防火墙NAT防火墙技术解决了公有IP地址匮乏的问题在L3/L4操作隐藏了内部网络结构引入了延时破坏了IP的端到端模型对应用的支持限制一些应用将连接信息嵌入到应用层报文中NATALG（ApplicationLayerGateway）

地址转换防火墙（续）NATALG（SQLNET）

地址转换防火墙（续）NATALG（DNS）

透明防火墙透明防火墙充当网桥的角色可操作于L2/L3/L4/L5/L7易于部署即插即用零配置无需更改编制结构无需更改路由拓扑隐蔽性高透明设备，0跳无IP，无连接可达到

混合防火墙高级防火墙包过滤（无状态/有状态）NAT操作应用内容过滤透明防火墙防攻击入侵检测VPN安全管理