防火墙技术应用

防火墙安全功能指标

我们防火墙也会提供各种各样的互联接口，它这种接口有以太网、快速以太网、千兆以太网，以太网是10M，快速以太网是百兆，甚至有万兆和40G的口，ATM，令牌环及FDDI是早就淘汰的技术，现在在我们防火墙上见到的接口，百分之99都是以太网接口，没有其他接口

除了IP协议之外，工控的防火墙还支持modbus等等一系列工控协议，IPSec是现在用的，PPTP这个也是，还有IPV6

很多的厂商防火墙其实是由路由器改过来的，所以常见的路由协议都支持

现在很多防火墙都有DPI技术，深入包检测就是把你的包拆开看里面具体有什么内容，从而进行流量管理，我禁止你上迅雷、敏感网站这一类的功能

应用层控制跟流量管理差不多，都依赖DPI技术，防火墙是安全设备，能够防止各种各样的攻击，也支持SNMP的网络管理协议，能够远程通过网管软件对防火墙进行一个管理和配置

防火墙支持各种各样的审计信息，最后形成报表，输出

防火墙性能指标

最大吞吐量，比如说有些防火墙是10G，有些可能是500M，在只有一条默认允许规则不丢包的情况下，能达到的一个最大吞吐率，有防火墙整机的一个吞吐量、http吞吐量、SQL吞吐量，一般我们说的防火墙吞吐量指的是它的三层网络吞吐量，可能是10G，三层指的是网络层，如果我们要检测http或者SQL应用层，这种比较深入的检测，一般它的性能会有一个大的降低，比如应用层吞吐有1个G，网络层吞吐最大10个G

一般我们说的连接率更多的是TCP的连接率，最大的连接数量是十万，超过十万TCP就连接不上来了

最大规则数，像我们的acl配置一般都有数量，我们的防火墙其实它的规则就类似于访问控制列表一样，可以配置一千条或者一万条，防火墙性能越强，配置越多

并发连接数，同时建立的连接，一般也是看tcp连接数

防火墙安全保障指标，用于评测防火墙的安全程度，主要包含开发指导性文档、生命周期支持

环境适应性指标，用于评估防火墙的部署和正常运行的条件，电磁兼容、绝缘、接地

一般我们卖防火墙，很少看防火墙安全保障指标、环境适应性指标这些东西，除非你卖在工控领域，工控领域它的环境要稍微恶劣一点，比如说防尘，一般带电的设备都不防水，主要是防尘、防震动，像电磁兼容、绝缘、接地，没有谁会去看

防火墙自身指标了解一下就行了，像什么管理能力、异常处理不重要，最重要的是最大吞吐量、最大连接速率、最大规则数、并发连接数，最大规则数这个其实也很少看，最最重要的是吞吐，除此之外，看防火墙的接口，你是百兆口，还是千兆口、万兆口，比如一个防火墙它有十个万兆接口，那肯定是一个高端防火墙，低端防火墙不会给我们整这么高级的接口，而且接口数量不会这么多，像这种吞吐量一般也是比较大的

防火墙部署

防火墙部署的基本过程包含以下几个步骤：
① 根据组织或公司的安全策略要求，将网络划分成若干安全区域;【划分区域】

trust、untrust、dmz，local防火墙本身这个就不用管了，当然你落实到具体的项目当中，你可以根据自己的一个实际去划区域了，比如说你是医院，可能有服务器区，住院楼区域、医生办公区域，根据实际的项目去画

② 在安全区域之间设置针对网络通信的访问控制点;【设控制点】

访问控制点就是我们的防火墙设备

③ 针对不同访问控制点的通信业务需求，制定相应的边界安全策略；【定策略】

比如有N个区域，A到B是permit还是deny

④ 依据控制点的边界安全策略，采用合适的防火墙技术和防范结构;【选技术】

前面文章写过的三种体系结构，安全性最高的，你选个屏蔽子网

⑤ 在防火墙上，配置实现对应的网络安全策略;【配策略】

配置安全策略，前面我们定策略，那些是permit，那些是deny，最后我们要在防火墙去配，怎么写acl

⑥ 测试验证边界安全策略是否正常执行;【测试验证】

配完之后，本来就是deny，如果ping一下通了，那这就有问题了，所以我们要去验证，要去测试

⑦ 运行和维护防火墙。【运维维护】

说实话，这些写的很官方，实际上不落地，像我们实际项目基本上很少管屏蔽子网还是双宿主主机，我们基本上很多项目用的都是第一种，双宿主主机这种结构，至少99%用的都是这种结构

防火墙应用案例-Linux防火墙

linux防火墙上的Linux配置，linux防火墙就是iptables，还有一个是华为设备上

SSH是22端口、TELNET是23端口、SMTP是25端口、DNS是53端口、69是TFTP 、80是HTTP、443是HTTPS、110和143这些就是和邮件相关的

防火墙应用案例-华为包过滤防火墙ACL(基本)

路由器的ACL配置说白了就是包过滤防火墙

防火墙应用案例-工控防火墙部署

工业控制终端安全设备，简单理解就是杀毒软件，是部署在我们电脑上的，终端安全设备一般叫edr