防火墙类型总结

Posted 2022-03-19 Wi-Fi研习者

PS：本文虽然标注是原创，不过基本都是对书本内容的整理摘录，所以不能完全算是原创，仅仅是笔者作为一个知识笔记。

这里是总结了《CCNP Security FIREWALL 642-618 Official Cert Guide》该书中的列举，在此除了参考该书，也参考了《Network Secuity Principles andPractices》，以及《CCNA SecurityOfficial Exam Certification Guide》的内容做为一并整理。

1.     参考《CCNA SecurityOfficial Exam Certification Guide》一书中的分类，该书中，是以防火墙发展的4个阶段进行分类的。（注：书中P325页，同时书中也给出了这四种防火墙的发展时间表）

• 静态包过滤防火墙（Static packet-filtering firewall）。该防火墙被描述为第一代防火墙，其工作在OSI模型的layer3，过滤的参数是静态设定的。其主要根据网络层和传输层的数据包头部，以及数据流的传输方向进行过滤。根据该描述，静态包过滤防火墙和Stateless Packet Filtering防火墙是一致的。由于是静态包过滤，所以该防火墙的效率也是比较高的。该防火墙也被称为无状态分组过滤防火墙，路由器中所使用的扩展ACL即是这种防火墙的典型。

• 电路级防火墙（Circuit-level firewall）。该防火墙被描述为第二代防火墙。其主要功能是作为TCP的中继，故因为工作机制类似中继，可能才被命名为Circuit-level。该防火墙主动截获TCP与被保护主机间的连接，并代表主机完成握手工作。当握手完成后，该防火墙负责检查只有属于该连接的数据分组才可以通过，而不属于该连接的则被拒绝。由于其只检查数据包是否属于该会话，而不验证数据包内容，所以其处理速率也是较快的。

• 应用级防火墙（Application layer firewall）。该防火墙被描述为第三代防火墙。其主要功能是在建立连接之前，基于应用层对数据进行验证。所有数据包的数据都在应用层被检测，并且维护了完整的连接状态以及序列信息。应用层防火墙还能够验证其他的一些安全选项，而且这些选项只能够在应用层完成，比如具体的用户密码以及服务请求。代理服务器防火墙应该属于应用级防火墙的一种具体实现。

• 动态包过滤防火墙（Dynamic packet-filtering firewall）。该防火墙被描述为第四代防火墙，其主要工作在OSI 3，4，5层上。这一代防火墙也被称为有状态（stateful）防火墙，其通过本地的状态监控表，用来追踪通过流量的各种信息。该信息可能包含：1.源/目的TCP和UDP端口号。2.TCP序列号。3.TCP标记。4.基于RFCedTCP状态机的TCP会话状态。5.基于计时器的UDP流量追踪。同时，有状态防火墙通常内置高级IP处理的特性，比如数据分片的重新组装以及IP选项的清楚或者拒绝。有状态防火墙甚至可以访问控制上层应用协议，比如FTP和HTTP协议，提供一种高层协议的过滤功能。

• 参考《CCNP Security FIREWALL 642-618Official Cert Guide》一书中，实际上给出了几种典型的防火墙类型，以及具体分析了其优缺点。

     静态包过滤防火墙（Stateless Packer Filter）

Feature	Limitation
Statically configured rules, usually for a restrictive approach	Effective filtering is limited by human rule configuration
Effective for Layer 3 address, protocol, or Layer 4 port number filtering	No tracking of dynamically negotiated sessions or changing port numbers
Efficient and cost-effective	Relatively easy to exploit

     有状态包过滤防火墙（Stateful Packet Filtering）

Feature	Limitation
Reliable filtering of traffic at Layers 3 and 4; typically used for a restrictive approach	No visibility into Layers 5 through 7
Simple configuration; less reliance on human knowledge of protocols	-
High performance	No protocol verification

     基于应用监控与控制的有状态包过滤（Stateful Packet Filtering withApplication Inspection and Control）

Feature	Limitation
Reliable filtering of Layers 3 through 7; typically used for a restrictive approach	Limited buffering for thorough application analysis
Simple configuration; less reliance on human knowledge of protocols	-
Medium performance	AIC（Application inspection and control） requires greater processing power

     网络入侵防御系统（Network Intrusion Prevention System，NIPS）

Feature	Limitation
A rich signature database of attack patterns, covering Layers 3 through 7	Limited buffering for thorough application analysis
Usually used in a permissive approach	Requires inline operation or partnership with a firewall to react to detected threats; cannot usually detect attacks that are new or not previously known
Medium performance	Requires periodic tuning to manage false positive and false negative threat detection

     网络行为分析系统（Network Behavior Analysis System，NBA）

Feature	Limitation
Examines inline network traffic or offline traffic data to build profiles or models of normal network activity	Human intervention is required for model tuning.
Can detect previously unknown attacks	Generates false positives if legitimate traffic appears to be an anomaly.
Uses a restrictive approach, detecting or blocking everything that is not known good activity	-

     应用层网关（Application Layer Gateway），即代理服务器（Proxy）

Feature	Limitation
Protocol analysis and normalization	Not available for all protocols or applications.
Deep and thorough content analysis	Analysis might take too long for real-time traffic.
Access control over Layers 3 through 7	-
Can be permissive or restrictive	Can require configuration on the clients.

     除此以外，《Network Secuity Principles andPractices》一书中，将个人防火墙也作为一种单独的分类。个人防火墙即安装在个人计算机上的防火墙，其是一个应用程序，也是一个应用级的防火墙，能够增加网络防火墙提供的安全级别。