防火墙概述和产品线
网络防火墙是什么?
网络防火墙是一个链接两个或多个网络区域,并且给予策略限制区域间流量的设备。
百度百科的基本定义:
所谓”防火墙” 是指一种将内部网和公众访问网(如Internet)分开的方法,他实际上是一种,建立在现代通信技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互连环境之中。
网络防火墙的类型
1、包过滤型(Packet Filter):包过滤通常安装在路bai由器上,并且大多数商用路由器都提供了包过滤的功能。另外, PC机上同样可以安装包过滤软件。包过滤规则以IP包信息为基础,对IP源地址、IP目标地址、封装协议(TCP/UDP/ICMPIP Tunnel)、端口号等进行筛选。
2、代理服务型(Proxy Service):代理服务型防火墙通常由两部分构成:服务器端程序和客户端程序。客户端程序与中间节点(Proxy Server)连接,中间节点再与要访问的外部服务器实际连接。与包过滤型防火墙不同的是,内部网与外部网之间不存在直接的连接,同时提供日志(Log)及审计(Audit)服务。
3、复合型(Hybrid)防火墙:把包过滤和代理服务两种方法结合起来,可以形成新的防火墙,所用主机称为堡垒主机(Bastion Host),负责提供代理服务。
Packet filtering介绍
Packet filtering (包过滤)是一种比较老的防火墙技术,也就是我们使用的访问控制列表(ACL)
Proxy Server 介绍
软件防火墙的主流技术,经常为web流量使用代理服务器。
Proxy Server 特点:
两个TCP会话
性能低下
支持的运用少
工作在OSI模型的高层,最安全的防火墙
Web Cache
Stateful Packet filtering介绍
硬件防火墙的主流技术,为穿越的TCP和UDP流维护状态化表项。
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-WmVIpG7F-1625377778870)(http://www.geekyunwei.com/wp-content/uploads/2021/02/wp_editor_md_55c0d4a708457689216916e6693572ff.jpg)]
Stateful Packet filtering特点
为每一个TCP和UDP流维护stateful session flow table(状态化表项)。
返回数据包首先查询状态化表项,如果是以前连接的一部分,就算被ACL拒绝也可以穿越防火墙。
状态化表项维护:源目IP ,TCP源目端口,序列号,Flag位。
高性能,硬件防火墙的主流技术
什么是DMZ?
Demilitarized Zone(非军事化区域)。
主要用于连接对外提供服务的服务器和VPN设备
如果没有DMZ?
Cisco ASA特性介绍
状态监控包过滤
Cut-through(穿越认证)
运用层过滤
MPF(Modular Policy Framework)
IPSec VPN、SSL VPN
IPS ----入侵防御系统
AIP-SSM
CSC-SSM
多模式防火墙----虚拟防火墙
透明防火墙 ----理解为二层防火墙
Failover(FO)-----类似与HSRP
图形化界面管理
Cisco ASA产品线-ASA 5505
两种授权方式:Base Model和Security Plus Model
最大吞吐量:150Mb/s
最大连接数:10,000 (25,000 Security Plus)
每秒最大连接数:4,000
3Des/AES最大吞吐量:100Mb/s
最大的VPN会话数:10 (25 Security Plus)
最大的SSL VPN会话数:默认2个,可升级到25个
Cisco ASA产品线-ASA 5510
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-JHNMc3RH-1625377778874)(http://www.geekyunwei.com/wp-content/uploads/2021/02/wp_editor_md_3ecdddfee6c3d8b05fef6dba3107ffc0.jpg)]
两种授权方式:Base Model和Security Plus Model
高度:1U(约等于4.45cm)
最大吞吐量:300Mb/s
最大连接数:50,000 (130,000 Security Plus)
3Des/AES最大吞吐量:170Mb/s
最大的VPN会话数:250
最大的SSL VPN会话数:默认2个,可升级到10,25,50,100 or 250
虚拟防火墙授权:0/0(base); 2/5(Security Plus)
VLAN数量:50 (100 Security Plus)
高可用性(Failover):基本版本不支持 (Security Plus A/A A/S)
接口数:5 Fast Ethernet ports(1个百兆管理口,4个百兆业务接口)
Cisco ASA产品线-ASA 5520
[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-PTpTEDsb-1625377778874)(http://www.geekyunwei.com/wp-content/uploads/2021/02/wp_editor_md_e8ae652f8e4407fc98df05e1939e730a.jpg)]
高度:1U(约等于4.45cm)
最大吞吐量:450Mb/s
最大连接数:280,000
3Des/AES最大吞吐量:225Mb/s
最大的VPN会话数:750
最大的SSL VPN会话数:默认2个,可升级到10,25,50,100,250,500 or 750
虚拟防火墙授权:默认2,可升级到20
VLAN数量:150
高可用性(Failover):A/S 和 A/A
可扩展性 :VPN集群和负载均衡
接口数:1个百兆管理口,4个千兆业务接口
Cisco ASA产品线-ASA 5540
高度:1U(约等于4.45cm)
最大吞吐量:650Mb/s
最大连接数:400,000
3Des/AES最大吞吐量:325Mb/s
最大的VPN会话数:5000
最大的SSL VPN会话数:默认2个(10,25,50,100,250,500,750,1000 or 2500)
虚拟防火墙授权:默认2,可升级到50
VLAN数量:200
高可用性(Failover):A/S 和 A/A
可扩展性 :VPN集群和负载均衡
接口数:1个百兆管理口,4个千兆业务接口
Cisco ASA产品线-ASA 5580
高度:3U
最大吞吐量:5Gb/s(5580-40 10Gb/s)
最大连接数:1,000,000( 5580-40 2,000,000 )
每秒最大连接数:90,000( 5580-40 150,000 )
3Des/AES最大吞吐量:1Gb/s
最大的VPN会话数:10,000
最大的SSL VPN会话数:默认2个,可升级到10,000
虚拟防火墙授权:默认2,可升级到50
VLAN数量:100
高可用性(Failover):A/S 和 A/A
可扩展性 :VPN集群和负载均衡
接口数:2个接口
PIX 与ASA区别
SSL VPN:
PIX不支持SSL VPN,ASA支持SSL VPN
SSM(安全服务模块):
PIX不支持,ASA支持
VPN集群和负载均衡:
PIX不支持,ASA支持
CF卡(闪存卡)的支持:
PIX不支持,ASA支持
AUX接口:
PIX没有AUX接口,ASA有AUX接口
PIX授权
R版本(限制版本)
UR版本(非限制版本)
Active/Standby Failover
Active/Active Failover
限制版本与非限制版本的区别在于:
1、接口:限制版本最多支持3个接口
2、内存:限制版本最大支持64M内存
3、FO(Failover):限制版本不支持Failover
VPN加密授权
DES license
Provides 56-bit DES
3DES/AES license
Provides 168-bit 3DES
Provides up to 256-bit AES
本文转自 ID: 互联网老辛 更多内容关注公众号《极客运维之家》,扫码添加: