防火牆

什麼是防火牆

防火牆代表一個系統或一組系統，執行兩個或多個網路間的訪問控制策略，通常用於網路的邊界或邊緣，防止外部威脅。也可用於內部網路，防止內部威脅。

防火牆技術型別

有以下三種技術的防火牆

包過濾

包過濾防火牆分析網路流量，通常是針對網路層和傳輸層資訊進行分析，基於既定的策略，限制進入或離開一個網路的資訊，或者限制資訊在同一個網路的不同網段(Segment)之間傳遞。它依靠 ACL，根據包的型別或者其他變數，允許或者拒絕資料包的訪問。

根據資訊的原地址和目的地址來控制資訊

代理伺服器

代理伺服器防火牆工作在 OSI  4 到 7 層。開銷比包過濾防火牆大，代理伺服器式的防火牆要求使用者通過代理和安全系統進行通訊，從而隱藏有價值的資料。使用者經過建立會話狀態，通過認證及授權以後，才能訪問到受保護的網路。使用者通過執行在閘道器上的應用程式（代理）連線到外部的服務，閘道器與外部不受保護的區域相連。

狀態包過濾

結合了代理伺服器和包過濾裝置的優點，避免了他們的很多缺點。這種防火牆保持完整的會話狀態。每當一個TCP 或 UDP 連線建立的時後，不管出去的連線，還是進來的連線，這些資訊都被記錄在一個基於狀態的會話流表中。

不僅通過資訊的源和目的地址控制資訊,而且根據狀態表的內容

防火牆技術特性

安全工具特性

Ciscosecurity appliances deliver enterprise-class security for small-to-medium-sizedbusiness and enterprise networks in a modular, purpose-built appliance.

思科安全工具的一些特點:

私有作業系統

去除了多用途作業系統的缺點

Finesse是 Cisco的私有的作業系統，既非Unix,也非 Windows NT,而是類似 IOS 的作業系統。使用 Finesse,可以減少通用作業系統帶來的風險。該作業系統具有卓越的效能，可以同時處理 50 萬個連線―――比任何基於 Unix 的防火牆的效能都高得多。
(FWSM,FirewallService Modual)目前可以處理 100 萬的同時連線。 

狀態包檢測

Cut-Through代理工作原理

直通代理透明地驗證使用者身份，確定允許還是據絕對基於 TCP 或 UDP 應用的訪問，也被稱為基於使用者的出入連線認證方式。

應用感知監控

模組化策略

基於流策略的構建:

虛擬專用網

安全上下文(VirtualFirewall)

容錯能力:Active/Standby, Active/Active, and Stateful Failover

透明防火牆

基於Web管理解決方案

彙總

參考：Cisco