从基础到进阶：Adobe Flash Player与防火墙的完美融合

防火墙
防火墙（Firewall），也称防护墙，是由Check Point创立者Gil Shwed于1993年发明并引入国际互联网。防火墙是位于内部网和外部网之间的屏障，它按照系统管理员预先定义好的规则来控制数据包的进出。防火墙是系统的第一道防线，其作用是防止非法用户的进入。
所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的边界上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（Security Gateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。

在网络中，所谓“防火墙”，是指一种将内部网和公众访问网（如Internet）分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。换句话说，如果不通过防火墙，公司内部的人就无法访问Internet，Internet上的人也无法和公司内部的人进行通信。
分类
物理特性：软件防火墙 硬件防火墙（类似于网关）
性能：百兆级 千兆级防火墙
防火墙结构：单一主机防火墙 路由集成防火墙 分布式防火墙
防火墙技术：包过滤防火墙 应用代理防火墙 状态检测防火墙

1. 访问控制
2. 地址转换
3. 网络环境支持
4. 带宽管理功能
5. 入侵检测和攻击防御
6. 用户认证
7. 高可用性
   

网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器，运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式，只允许符合特定规则的封包通过，其余的一概禁止穿越防火墙（病毒除外，防火墙不能防止病毒侵入）。这些规则通常可以经由管理员定义或修改，不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则，只要封包不符合任何一项“否定规则”就予以放行。操作系统及网络设备大多已内置防火墙功能
较新的防火墙能利用封包的多样属性来进行过滤，例如：来源 IP地址、来源端口号、目的 IP 地址或端口号、服务类型（如 HTTP 或是 FTP）。也能经由通信协议、TTL 值、来源的网域名称或网段…等属性来进行过滤。
应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作，您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包，并且封锁其他的封包（通常是直接将封包丢弃）。理论上，这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
防火墙借由监测所有的封包并找出不符规则的内容，可以防范电脑蠕虫或是木马程序的快速蔓延。不过就实现而言，这个方法既烦且杂（软件有千千百百种啊），所以大部分的防火墙都不会考虑以这种方法设计。
XML 防火墙是一种新型态的应用层防火墙。
根据侧重不同，可分为：包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。
数据库防火墙
数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制，实现数据库的访问行为控制、危险操作阻断、可疑行为审计。数据库防火墙通过SQL协议分析，根据预定义的禁止和许可策略让合法的SQL操作通过，阻断非法违规操作，形成数据库的外围防御圈，实现SQL危险操作的主动预防、实时审计。
数据库防火墙面对来自于外部的入侵行为提供SQL注入禁止和数据库虚拟补丁包功能。
包过滤防火墙
1.检查时逐包检查，导致效率低；绝大数
2.使用静态ACL（本质）（红色字代表包过滤特点）
包过滤语法 tcp port 443（端口号） and host 220.181.112.244（ip地址）
原理：

应用代理防火墙

状态检测防火墙
原理：
底层用哈希加快校验速度

状态检测转发机制：

UTM防火墙

IDS入侵监测系统
IPS入侵防御系统：深度包检测技术(应用层内容特征)、深度流检测技术（流量的行为特征）
WAF：web应用防火墙，本质上是HTTP的代理服务器，只能防御针对web的攻击
性能指标

1.吞吐量
网络中的数据是由一个个数据包组成，防火墙对每个数据包的处理要耗费资源。吞吐量是指在没有帧丢失的情况下，设备能够接受的最大速率。其测试方法是：在测试中以一定速率发送一定数量的帧，并计算待测设备传输的帧，如果发送的帧与接收的帧数量相等，那么就将发送速率提高并重新测试；如果接收帧少于发送帧则降低发送速率重新测试，直至得出最终结果。吞吐量测试结果以比特/秒或字节/秒表示。
吞吐量和报文转发率是关系防火墙应用的主要指标，一般采用FDT（Full Duplex Throughput）来衡量，指64字节数据包的全双工吞吐量，该指标既包括吞吐量指标也涵盖了报文转发率指标。

2时延

3.丢包率

4.背靠背

5.并发连接数

防火墙主要优点

1. 防火墙能强化安全策略。
2. 防火墙能有效地记录Internet上的活动。
   3.防火墙限制暴露用户点。防火墙能够用来隔开网络中一个网段与另一个网段。这样，能够防止影响一个网段的问题通过整个网络传播。
   4.防火墙是一个安全策略的检查站。所有进出的信息都必须通过防火墙，防火墙便成为安全问题的检查点，使可疑的访问被拒绝于门外。
   防火墙的限制
   防火墙并非万能，它仍然有许多在网上不能防范的攻击。现总结如下：
   1.防火墙无法防范通过防火墙以外的其它途径的攻击。例如，在一个被保护的网络上有一个没有限制的拨出存在（如通过MODEM拨号），内部网络上的用户就可以直接通过SLIP或PPP连接进入Internet。这就为从后门攻击创造了极大的可能。网络上的用户们必须了解这种类型的连接对于一个有全面的安全保护系统来说是绝对不允许的。
   2.防火墙也不能防止来自内部变节者和不经心的用户们带来的威胁。
   3.也不能防范这样的攻击：伪装成超级用户或诈称新雇员的攻击。
   4.防火墙不能有效地防范像病毒这类东西的入侵。对病毒十分忧虑的机构应当在整个机构范围内采取病毒控制措施。不要试图将病毒挡在防火墙之外，而是保证每个脆弱的桌面系统都安装上病毒扫描软件，只要一引导计算机就对病毒进行扫描。
   5.最后一点是，防火墙无法防范数据驱动型的攻击。数据驱动型的攻击从表面上看是无害的数据被邮寄或拷贝到Internet主机上。但一旦执行就开成攻击。例如，一个数据型攻击可能导致主机修改与安全相关的文件，使得入侵者很容易获得对系统的访问权。后面我们将会看到，在堡垒主机上部署代理服务器是禁止从外部直接产生网络连接的最佳方式，并能减少数据驱动型攻击的威胁。