防火墙分类精讲--你真的花时间了解过防火墙吗

woxizishen

以下为笔者总结，仅供大家分享，如果未来准备购买硬体防火墙，此文请务必看完，如要转载，请标出chinaunix出处，如有讲解不是很准确的地方，请及时指出。

1.1.        防火墙的分类
1.1.1.        从软件和硬件形体上区分

软件防火墙顾名思义，软件防火墙他只是一款软件，需要在操作系统上安装才能使用，软件防火墙的种类五花八门，但是工作原理都是大同小异。
Linux环境下主要有以下几种
1.        netfilter/iptables(本文重点介绍的软体防火墙)
2.        checkpoint(毋容置疑，国际上排行老大的包过滤型防火墙品牌)


windows环境下那就各种杂牌，功能有限
1.微软自身带的防火墙
早起微软的操作系统如windows2000/xp的防火墙功能简单，限定很不人性化，几乎作用不大，微软后期windows 8系统的防火墙虽然功能比较完善，但还是没有 linux的netfilter/iptables功能完善，它不具备linux的状态检测功能。

2.其他国内品牌如瑞星个人/企业防火墙/360防火墙等等
功能上和微软防火墙大同小异。


硬件防火墙
所谓硬件防火墙就是将防火墙软体和它需要的操作系统平台都内置于一个硬件设备上，这个操作系统也就是我们通常所说的嵌入式操作系统。这个硬件设备虽然外形和普通计算机相差很大，大小和普通交换机一样大，但是麻雀虽小，五脏俱全，内部一样有cpu，内存等，只不过是高度集成化。所以硬件防火墙根据CPU的架构又可以分为如下几种:
1.PC机X86架构的防火墙
大部分市面上比较普通的硬件防火墙都是这种架构，价格低廉，性能一般。而操作系统有Unix/Linux等系统，由于该类防火墙采用的是这些操作系统的内核，所以操作系统本身的安全性问题，防火墙也就一样存在了。市面上绝大部分百兆防火墙都是X86架构，为何x86架构性能上不去， x86架构的防火墙工作机制还是最大的瓶颈，数据从网卡到CPU之间的传输它是依靠“中断”实现，尤其在传送小包的情况下（64 Bytes的小包），数据包的通过率一半都到不了，这导致了不可逾越的性能瓶颈，而且他的cpu对于数据处理并没有像下面RISC架构的NP处理器做过任何优化，要达到千兆很难实现。

2. RISC架构的防火墙
该类防火墙的cpu芯片是采用PowerPC、Intel IXP等RISC(精简指令集)的CPU
，故该类防火墙性能要优于X86架构，操作系统也主要是unix/linux为主。市面上所谓的NP(network process)以及ARM处理器都是使用这种架构的。由于该类防火墙使用了NP处理器，所以性能上要比X86架构防火墙要提高不少，已经可以达到千兆的速率。中小型企业比较适合选此类架构

3. ASIC架构的防火墙(也称为所谓的芯片级防火墙)
通过把指令和逻辑计算固化到ASIC芯片中，从而很大提高防火墙性能。该类产品价格高昂，但性能最好，目前可以达到万兆的速率。由于防火墙是专用的os系统，所以安全要大大优于前面2种，该类防火墙是大型企业的首选。国际一线品牌有Juniper(瞻博）、Cisco(思科) ,FortiNet(飞塔)等。

1.1.2.        从防火墙技术上分
1.1.2.1.        第一代传统的包过滤防火墙
        包过滤型防火墙
目前包过滤型硬件防火墙做的最好的2家为以色列的Checkpoint防火墙和美国Cisco公司的PIX防火墙。
包过滤型防火墙工作在OSI网络参考模型的第三层网络层和传输层，它根据数据包头源地址，目的地址、端口号和一些传输协议类型等标志确定是否允许通过。只有满足过滤条件的数据包才被放行或转发到相应的目的地，其余数据包则全部丢弃或拒收。
包过滤型防火墙又可以细分为
静态包过滤
根据事先定义好的规则，对数据包进行过滤，过滤规则的条件是基于数据包的报头源ip地址，源端口，目的地址，目的端口，传输协议tcp/udp/icmp/等进行过滤的。该类防火墙市场上几乎已经消失了。就连一般家用的路由器都有这种最基本的静态包过滤防火墙的功能，早期的windows2000/xp自带的防火墙就是这种机制。

动态包过滤（也就是所谓的状态检测防火墙）
这种防火墙扩展了静态包过滤防火墙的功能，他不但具备静态包过滤防火墙的功能，还可以对每一个连接进行跟踪，检测每个连接状态，在自己的内存中维护一个跟踪连接状态的表，也就是说动态包过滤的防火墙除了可以管控三层的数据包，已经可以对第四层传输层进行管控，其实也就是多了对每一个连接的状态可以设定规则管理的功能，比简单包过滤防火墙的安全性要更高些而已，也是目前防火墙最基本的功能，当然我们要讲述的linux下的netfilter/iptables软件防火墙已具备该功能。


1.1.2.2.        第二代应用代理(有的又称应用网关)型防火墙
应用代理型防火墙又可以细分以下三种：
应用层防火墙
应用代理型防火墙
自适应代理型防火墙

随着信息化产业飞速的的发展，仅仅使用传统的包过滤型防火墙对三层和四层的数据进行管控已经无法满足需求，比如应用层的SQL注入攻击，像传统的包过滤型防火墙就无能为力了，所以后期就出现了对OCI第七层进行保护的防火墙。也就是应用代理型防火墙。在应用代理型防火墙之前是应用层防火墙。随着现在很多外部攻击源越来越频繁，如果仅仅使用应用层防火墙来进行保护，外界的黑客还是有办法很容易就绕过防火墙，而使用应用代理型防火墙则可以彻底隔断内部网络和外部网络直接通信，内网用户需要访问外部网络时必须和防火墙的proxy server(代理服务器)连接，然后proxy server再与外部连接，反之外部网络需要访问内部网络时也是一样，必须通过proxy server这个桥梁进行连接。当然最开始的代理防火墙安全性是上来了，可性能上又存在很大问题，所以代理防火墙有以下几个缺点
1.        由于每个应用都要求单独的代理进程，这就要求管理员能理解每项应用协议的弱点，并能合理的配置安全策略
2.        对于内网的每个网页访问请求，应用代理都需要开一个单独的代理进程，所以应用代理的延迟会比较大，所以不太适合并发数高，时效性强的行业使用。
3.        如果将来有新的应用出现，由于这些代理防火墙都是内置已知应用程序的代理，那么这些新出的应用则会被代理防火墙无情的阻断。
综所上述，普通的应用代理型防火墙在一些重要的领域和核心业务中，正逐渐被疏远，然而在后期新出来的自适应代理技术（Adaptive proxy）让代理防火墙有了新的转机，自适应代理防火墙据说比普通应用代理防火墙性能至少提高10倍以上。
组成自适应代理防火墙需要2个基本条件：自适应代理服务器（Adaptive Proxy Server）与动态包过滤器（Dynamic Packet filter）。在这2者之间有一个控制通道。在对这种防火墙进行配置时，用户仅仅将所需要的应用类型、安全级别等信息通过相应的管理界面进行设置就可以了。然后，自适应代理防火墙就可以根据用户的配置信息，自动决定是使用代理服务从应用层代理请求还是从网络层转发包。如果是后者，它将动态地通知包过滤器增减过滤规则，是不是很人性化，能满足速度和安全双重需求。
当然你可以简单把这种自适应代理防火墙看做是应用代理型防火墙和包过滤型防火墙的结合体，不过实质实现起来可并不是这么简单。


1.1.2.3.        准三代UTM和NGFW防火墙
        UTM(也有人把他叫做复合型防火墙)是2004年9月，IDC(互联网数据中心internet data center的缩写,他并不是一家公司，只要从事从事互联网数据服务的公司的都可以称IDC.)首度提出“统一威胁管理”的概念，即将防病毒/垃圾邮件，上网行为、入侵检测/入侵防御和防火墙等等安全设备划归统一威胁管理(Unified Threat Management，简称UTM)新类别。
看起来UTM似乎功能很强大，似乎使用该类防火墙可以为我们省去很多不必要设备和软件，实质上由于UTM是在防火墙平台上发展起来的，这种架构注定入侵防御、病毒防护等各个功能是简单叠加的，数据包需要逐个通过各个检测引擎，每通过一个引擎性能将下降一大截，全部开启后，几乎是接近满负载工作，很多时候无法满足用户的需求，看到很多的UTM产品至今仍停留在概念阶段，所以说该类成品只能算是准三代。
(说句玩笑话，这玩意就是大小通吃，把其他设备能具有的功能都弄在一起，来个大杂烩，实质上这种设备当使用人数超过一定人数时候，就出现性能瓶颈了，所以中小企业还可以使用下，在大型企业上千人使用时候，简直是灾难。)

        NGFW( Next generation firewall)下一代防火墙
很多人认为NGFW是替代UTM的第三代防火墙，虽然看上去NGFW是将所有威胁检测功能融合在了一个引擎里，数据包只需要通过一个引擎，就可以完成所有威胁的检测，这样确实避免了UTM简单叠加的缺点，提升了检测效率，性能也得到了增强，即使把所有功能全开启的情况下性能同样能够支撑大流量，目前有看到几十GB的速率，但实质上NGFW其实还是各个品牌厂商进行阉割版的UTM，一些品牌为了提高性能，去掉了防病毒在文件级和应用层的功能，一些品牌保留大部分功能，去掉认为用不到的功能。
实质上真正第三代防火墙在笔者个人看来将会是替代现有市面上的大部分安全产品，而不是去东墙补西墙，符合现在多核时代，云计算，虚拟化，大数据等等新技术需求，做到虚拟化，用户界面人性化，能够处理高并发的强劲性能的防火墙将是下一代防火墙。

1.1.3.        按防火墙部署范围
        个人防火墙
个人防火墙顾名思义就是对于个人进行保护，也就是对单点进行保护的防火墙，往往个人防火墙主要是以软件形式出现，如微软操作系统自带的防火墙，国内的360个人防火墙等等

        网关防火墙(有的也称边界防火墙)—企业常用方式
网关防火墙，从字面上理解，就可以明白他肯定是部署在企业内网的边缘，一般用来将内网与外网隔离开，它就相当于古人把守关卡的勇夫。有着一夫当关，万夫莫开的功能。这种防火墙以应用代理型和自适应代理型防火墙为主。


        分布式防火墙
提到分布式，大家应该都知道分布式计算机就是把一个计算都交给许多计算机进行处理，那么分布式防火墙也就是把原本一台防火墙可以干的活，交给多台防火墙，当然他们还是有着本质的区别，这里就不探讨分布式计算机了，为何要将一台防火墙的功能交给多台防火墙，当企业需求不光要通过防火墙过滤内网与外网的数据，还要通过防火墙过滤内网每一台电脑之间互访的数据，就要考虑这种部署的防火墙
分布式防火墙方案中，一般是由一台集中式管理的硬件设备做服务端，所有策略集中到这一设备上制定和发布，然后在每一个内网的电脑上安装软体防火墙，这样就无需在网络的边缘再放置网关防火墙了。
分布式防火墙比较适合大型网络，并且对内网每一台电脑之间互访的数据都要经过过滤的企业环境。

1.1.4.        按防火墙工作模式
        透明模式
防火墙通过第二层对外连接，即对外防火墙的没有ip地址，则防火墙工作在透明模式下,主要是用来连接同一个网段的内网和公网,内网用户看不到防火墙的存在，隐蔽性较好，这种适合公网ip充足，人数使用不多的企业。如下图所示:

        路由模式（大部分中小企业都是该模式）
如果防火墙以第三层对外连接，即对外防火墙用一个和公网在同一网段的ip地址进行连接，对内，防火墙则用另一个和内网在一个网段的ip地址连接，则认为防火墙工作在路由模式下

很明显可以看出上述途图中防火墙地址是192.168.0.1，是做内部网络的网关用的，内部所有用户都是通过防火墙的nat功能访问外部网络。

        混合模式
如果防火墙同时具有工作在路由模式和透明模式的接口，即某些接口有IP地址，某些接口没有IP地址，则防火墙工作在混合模式下。

如上图所示，混合模式下的防火墙主要是用来做主备满足一些企业的高可用性。
2个防火墙的一个接口都同时连接内部网络，另外一个接口都同时连接外部网络，最后防火墙与防火墙之间用一个交换机实现互相连接，并运行VRRP 协议进行备份。需要注意的是内部网络和外部网络必须处于同一个子网。
当然单台防火墙也可以工作在混合模式下，也即路由模式和透明模式同时打开。