防火墻可以做什么?
1)普通訪問控制(類似于傳統交換機ACL,但是功能比ACL要強;例如交換機可以上256條的ACL規則,路由器可以達到幾千條甚至上萬條,但是防火墻普遍都可以上萬條規則以上)
2)高性能狀態化的訪問控制(高級別安全區域能夠訪問低級別的安全區域,類似于CISCO的反射訪問控制列表)
3)入侵檢測和防御(可以根據預先或者自定義的規則,對攻擊進行檢測和阻斷,這個功能我認為是最重要的)
4)URL過濾(這個功能在園區網比較有用,在IDC幾乎沒什么作用)
5)反病毒(這個功能目前比較雞肋)
6)流量控制(跟傳統的流控比起來,這個功能會相對比較雞肋)
7)抗DDOS(這個功能相對比較雞肋,帶寬型的DDOS抗不了、CC幾乎沒有用、只能防護一些非常低級的DDOS攻擊)
8)其他功能
什么時候需要部署防火墻
1)訪問控制(如果策略的數量比較少的話可以用交換機代替,稍微高檔一些的交換機的ACL規則可以高達幾百條)
2)防止攻擊(防火墻入侵檢測和防御功能)
3)高帶寬、高并發的NAT場景,例如校園網、IDC等(預算不充足的話可以使用linux的iptables集群代替,前提是要對linux內核網路方面的參數比較了解)
3)上網行為管理(限速、禁止訪問某些RUL、禁止訪問某類網站)
防火墻的發展歷史和趨勢
UTM:把所有功能做成流水線的模式,一個包裹來,要經過很多模塊檢測,對性能和質量造成較大影響。
下一代防火墻:所有的模塊采用并行的模式,一個包過來,多個模塊同時運作,性能有很大提高。
未來發展趨勢:目前防火墻對應用層的檢測相對來說是比較雞肋的。未來防火墻的發展趨勢會往應用層深度檢測攻擊的方向發展。和大數據結合在一起,具有更強的發現功能能力。
防火墻的采購注意事項
防火墻廠商的參數以吹牛為主(尤其大陸廠商)。看上去好像很屌,實際上防火墻的吞吐一般要打個30%。對于吞吐,還有分類,例如普通吞吐、IPS吞吐、IPSEC VPN吞吐、SSL VPN吞吐、AV吞吐、URL吞吐等等。
購買防火墻的時候要購買不同功能的license(例如IPS、URL過濾等等),否則買回來只是一臺高檔一點的ACL、NAT設備。不具備防攻擊的功能。
防火墻的投入是持續的,并非一次性投資,例如要購買IPS升級特征庫。
防火墻的部署誤區
缺乏管理:很多單位/企業,購買了防火墻后,放在出口開啟NAT后就沒有下文了。這個還倒不如部署一臺iptables來的劃算。
對防火墻的認知誤區:很多人認為防火墻部署后就可以高枕無憂了。如果你沒有對日志進行分析或者使用一些高級的功能,防火墻只會是一臺普通的ACL、NAT設備。不能阻擋任何攻擊。
防火墻部署原則
1)明確知道要保護的資產
2)資產的保護價值
3)想通過什么方法去保護資產
防火墻的衍生產品或者類似產品
入侵檢測/防御
防毒墻
流控
DDOS墻
說明:以上這些產品都可以繼承在防火墻上。如果對某個功能的要求很高(例如抗DDOS的并發數、流量),那么可以考慮串聯專門用于某種功能的設備