计算机网络中深信服防火墙的介绍

深信服防火墙是一种基于硬件或软件的网络安全设备，它监控所有传入和传出流量，并根据一组定义的安全规则接受、拒绝或丢弃特定流量。

Accept :允许流量
Reject :阻止流量但回复“无法到达的错误”
Drop : 阻止流量但没有回复

防火墙在安全的内部网络和外部不受信任的网络（例如 Internet）之间建立了一道屏障。

防火墙的历史和需求

在防火墙之前，网络安全由驻留在路由器上的访问控制列表 (ACL) 执行。ACL 是确定是否应授予或拒绝特定 IP 地址的网络访问权限的规则。
但是 ACL 无法确定它阻塞的数据包的性质。此外，仅 ACL 无法将威胁排除在网络之外。因此，引入了防火墙。

对于组织而言，连接到 Internet 不再是可选的。但是，访问 Internet 可为组织带来好处；它还使外部世界能够与组织的内部网络进行交互。这对组织构成威胁。为了保护内部网络免受未经授权的流量，我们需要防火墙。

防火墙的工作原理

防火墙根据其表中定义的规则集匹配网络流量。匹配规则后，将关联操作应用于网络流量。例如，规则被定义为人力资源部门的任何员工都不能访问代码服务器的数据，同时另一个规则被定义为系统管理员可以访问人力资源和技术部门的数据。可以根据组织的必要性和安全策略在防火墙上定义规则。
从服务器的角度来看，网络流量可以是传出的，也可以是传入的。防火墙为这两种情况维护了一套不同的规则。大多数来自服务器本身的传出流量都允许通过。尽管如此，为传出流量设置规则总是更好，以实现更高的安全性并防止不必要的通信。
传入流量的处理方式不同。到达防火墙的大多数流量是这三种主要传输层协议之一——TCP、UDP 或 ICMP。所有这些类型都有源地址和目标地址。此外，TCP 和 UDP 有端口号。ICMP 使用类型代码而不是端口号来标识该数据包的用途。

默认策略：很难明确覆盖防火墙上的所有可能规则。因此，防火墙必须始终具有默认策略。默认策略仅包含操作（接受、拒绝或丢弃）。
假设防火墙上没有定义与服务器的 SSH 连接的规则。因此，它将遵循默认策略。如果防火墙上的默认策略设置为accept，那么您办公室外的任何计算机都可以与服务器建立 SSH 连接。因此，将默认策略设置为丢弃（或拒绝）始终是一个好习惯。

防火墙的生成

防火墙可以根据其生成进行分类。

第一代 – 包过滤防火墙： 包过滤防火墙用于通过监控传出和传入的数据包并根据源和目标 IP 地址、协议和端口允许它们通过或停止来控制网络访问。它在传输协议层分析流量（但主要使用前 3 层）。
包防火墙单独处理每个包。他们无法判断数据包是否是现有流量的一部分。只有它可以根据唯一的数据包头允许或拒绝数据包。
包过滤防火墙维护一个过滤表，决定是否转发或丢弃数据包。从给定的过滤表中，数据包将根据以下规则进行过滤：

来自网络 192.168.21.0 的传入数据包被阻止。
发往内部 TELNET 服务器（端口 23）的传入数据包被阻止。
发往主机 192.168.21.3 的传入数据包被阻止。
网络 192.168.21.0 的所有知名服务都是允许的。
第二代-状态检测防火墙： 状态防火墙（执行状态包检测）能够确定数据包的连接状态，不像包过滤防火墙，这使得它更有效。它跟踪通过它的网络连接的状态，例如 TCP 流。因此过滤决定不仅基于定义的规则，而且基于状态表中数据包的历史。
第三代-应用层防火墙： 应用层防火墙可以检查和过滤任何 OSI 层上的数据包，直至应用层。它能够阻止特定内容，还可以识别某些应用程序和协议（如 HTTP、FTP）何时被滥用。
换句话说，应用层防火墙是运行代理服务器的主机。代理防火墙阻止防火墙两侧之间的直接连接，每个数据包都必须通过代理。它可以根据预定义的规则允许或阻止流量。
注意：应用层防火墙也可以用作网络地址转换器（NAT）。

下一代防火墙 (NGFW)： 目前正在部署下一代防火墙，以阻止现代安全漏洞，例如高级恶意软件攻击和应用层攻击。NGFW 由深度数据包检测、应用程序检测、SSL/SSH 检测和许多保护网络免受这些现代威胁的功能组成。
防火墙类型

防火墙通常有两种类型：基于主机的和基于网络的。

基于主机的防火墙：基于 主机的防火墙安装在控制每个传入和传出数据包的每个网络节点上。它是一个软件应用程序或应用程序套件，是操作系统的一部分。需要基于主机的防火墙，因为网络防火墙无法在受信任的网络内提供保护。主机防火墙保护每台主机免受攻击和未经授权的访问。
基于网络的防火墙： 网络级别的网络防火墙功能。换句话说，这些防火墙过滤网络中所有传入和传出的流量。它通过使用防火墙上定义的规则过滤流量来保护内部网络。网络防火墙可能有两个或更多网络接口卡 (NIC)。基于网络的防火墙通常是安装了专有软件的专用系统。