防火墙概述

防火墙位于一个可信的内部网络与一个不可信的外界网络之间，用于保护内部网络免受非法用户的入侵。在内网和外网之间构筑保护层，通过网络路由和信息过滤实现网络的安全。

防火墙的特性

1. 内部网络和外部网络之间所有网络数据必须经过防火墙
2. 只有符合安全策略的数据流才能通过防火墙
3. 防火墙自身应具有非常强的抗攻击免疫力

防火墙的功能

1. 网络安全的屏障，可以极大程度的提高内部网络的安全性，过滤不安全的服务降低风险
2. 强化网络安全策略，以防火墙为中心，通过配置安全软件，集中安全管理
3. 对网络存取和访问进行审计监控，记录日志、统计数据、以便分析
4. 防范内部信息的外泄

主要缺陷

1. 传统防火墙不能防范来自内部网络的攻击（新一代“分布式防火墙”则支持防范内部攻击）
2. 防火墙不能防范不通过防火墙的攻击（必须让防火墙成为唯一的与外部网络连接的网络接口）
3. 不能防范恶意代码的传输（防火墙不能扫描每一个数据包内的数据）
4. 不能防范利用协议缺陷进行的攻击
5. 不能防范利用服务器漏洞进行的攻击
6. 不能防范未知的网络安全问题（被动式安全防护技术）
7. 对已有的网络服务有一定的限制

性能评价指标

1. 传输层性能指标
   • TCP并发连接数：穿越防火墙的主机之间或者主机与防火墙之间能同时建立的最大连接数
   • 最大TCP连接速率：防火墙维持的最大TCP连接建立速度，用以体现防火墙更新链接状态表的最大速率和实施反应能力
2. 网络层性能指标
   • 吞吐量指标：没有丢帧情况下，防火墙能接受并转发的最大速率
   • 时延指标：发送端口发出数据包经过防火墙后接收端口收到的时间间隔，有直通转发时延和存储转发时延两种
   • 丢包率指标：正常稳定网络条件下，应该被转发但是由于缺少资源而没有被转发的数据包占全部数据包的百分比
   • 背靠背缓冲指标：接受到以最小帧间隔传输的网络流量时，在不丢包的情况下所能处理的最大包数（缓冲能力）
3. 应用层性能指标
   • HTTP传输速率：被请求的目标数据通过防火墙的平均传输速率
   • 最大HTTP事务处理速率：用户访问目标时，所能达到的最大速率

功能评价指标

1. 服务平台支持：常见的系统平台如Linux、Unix等
2. LAN口支持：LAN口的类型、带宽、口数
3. 协议支持：主要指对非TCP/IP协议族的支持，如IPX等
4. VPN支持：是否支持虚拟专网VPN功能，提供建立VPN隧道所需的IPSec、PPTP、专用协议以及在VPN中使用TCP/IP
5. 加密支持：主要指是否支持VPN加密需要的加密算法如DES、3DES、RC4以及特殊的加密算法和硬件加密功能
6. 认证支持：主要指防火墙提供的认证方式，如RADIUS、Keberos、PKI、口令等方式
7. 访问控制：主要指防火墙通过包过滤、应用代理或传输层代理方式，实现对网络资源的访问控制
8. NAT支持：是否提供NAT功能，隐藏内部网络结构，提高内网安全
9. 日志支持：完善的日志记录、存储、管理等
10. 其他：病毒扫描、内容过滤、抵御DOS/DDOS、脚本攻击、实时入侵防御、防范IP欺骗

防火墙规则制定的两种原则及其各自特点

防火墙规则的分类：

1. 高级政策

用来定义受限制的网络许可和明确拒绝的服务内容、使用这些服务的方法以及例外条例

2. 低级政策

描述防火墙限制访问的具体实现及如何过滤高级政策定义的服务

规则的特点：

• 保护内部信息资源的策略的实现和延伸
• 必须与网络访问活动密切相关
• 可靠稳妥，切合实际
• 实施各种不同的服务访问政策

设计原则：

1. 拒绝访问一切未予特许的服务（侧重安全性）
2. 允许访问一切未被特别拒绝的服务（侧重灵活性和方便性）

包过滤技术和应用网关技术的区别

包过滤技术也称分组过滤技术，在网络层截获网络数据包，根据防火墙规则表，检测攻击行为，在网络层提供低级别的安全防护和控制。

应用网关技术又称为代理技术，采用协议代理服务，位于应用层，需要为每一种应用服务器设置专门的代理服务器。

防火墙常见体系结构

1. 筛选路由器体系结构
2. 单宿主堡垒主机体系结构
3. 双宿主堡垒主机体系结构
4. 屏蔽子网体系结构