华思特(图)-企业级万兆防火墙-广州万兆防火墙

防火墙可以当路由器用吗？

防火墙

这个名字确实很强大，不仅可以镇得住IT甲方的采购，还可以唬得住粗懂IT技术的老板。

防火墙提供***的安全服务，设计之初硬件做了优化。安全加密、安全过滤、深度报文检测提供了专门的加速芯片，而传统的路由器更多依赖于CPU的软件处理，所以报文的安全处理效率更高。

桥接模式防火墙

防火墙放置在网络上，如同一根网线一样透明，除了部署防火墙工程师知道它们的存在，juniper万兆防火墙，没有人知道它的存在。

防火墙尽管透明，并不意味着它不干活，否则还有什么存在的意义呢？

透明防火墙，对于流经它的流量做一套流水线工作，这种流水线的工作大体归纳为：

三层的过滤四层的过滤七层的过滤特征码过滤加密

如果流水线的每道工序都没有问题，报文顺利通过，仿佛什么都没有发生，用户的报文没有任何的改变。

如果其中的某道工序出问题了，按照预案处理，一般是丢弃处理并生成日志告警。

透明防火墙的这种工作方式，称之为桥接模式。

路由模式防火墙

但是，不是所有的网络都希望采用桥接模式的防火墙，更愿意防火墙成为转发路径上的一跳（Hop），如同路由器一样的存在。

防火墙需要支持路由协议，这样才能与网络里的路由器交换路由，否则就是只懂安全的大傻子。

对于很多中小型企业，买一台防火墙既可以做网关，提供内网不同网段流量的隔离与通信，同时又防御着来自于互联网上的安全威胁，一举两得，省的再买一台路由器或三层交换机，经济又实惠。

防火墙能作些什么？

(1)防火墙是保全决策的***

　　防火墙为一个咽喉点，所有进入和出去的传输都必须通过这个狭窄、检查点，在网路安全防护上，防火墙提供非常大的杠杆效益，万兆防火墙 价格，因为它把安全措施集中在这个检查点上。

　　(2)防火墙可以执行保全政策

　　防火墙强制执行站台的保全政策，只让核准的服务通过，而这些服务设定在Policy中。

　　(3)防火墙能有效率的记录Internet的活动

　　由於所有的传输都经过防火墙，所以它成为收集系统和网路的使用或误用资讯的地点。

　　(4)防火墙可以减少网路暴露的危机

　　防火墙可以使得在防火墙内部的伺服主机与外界网路隔绝，避免有问题的封包影响到内部主机的安全

UDP是一个无连接协议。使用UDP协议传输数据之前，客户端和服务器之间不建立连接，如果在从客户端到服务器端的传递过程中出现数据的丢失，协议本身并不能做出任何检测或提示。因此，通常人们把UDP协议称为不可靠的传输协议。

既然UDP是一种不可靠的网络协议，那么还有什么使用价值或必要呢？

其实不然，在有些情况下UDP协议可能会变得非常有用。因为UDP具有TCP所望尘莫及的速度优势。虽然TCP协议中植入了各种安全保障功能，但是在实际执行的过程中会占用大量的系统开销，广州万兆防火墙，无疑使传输速度受到严重的影响。反观UDP，由于排除了信息可靠传递机制，将安全和排序等功能移交给上层应用来完成，极大降低了执行时间，使传输速度得到了保证。

正是UDP协议的广泛应用，为黑hei客们发动UDP Flood攻击提供了平台。UDP Flood属于带宽类攻击，黑hei客们通过僵jiang尸网络向目标服务器发起大量的UDP报文，这种UDP报文通常为大包，且速率非常快，通常会造成以下危害：消耗网络带宽资源，严重时造成链路拥塞。大量变源变端口的UDP Flood会导致依靠会话转发的网络设备，性能降低甚至会话耗尽，从而导致网络瘫痪。

防火墙对UDP Flood的防御并不能像SYN Flood一样，进行源探测，因为它不建立连接。那应该怎么防御呢？

开始防火墙对UDP Flood的防御方式就是限流，通过限流将链路中的UDP报文控制在合理的带宽范围之内。

防火墙上针对UDP Flood的限流有三种： 基于目的IP地址的限流：即以某个IP地址作为统计对象，对到达这个IP地址的UDP流量进行统计并限流，超过部分丢弃。基于目的安全区域的限流：即以某个安全区域作为统计对象，对到达这个安全区域的UDP流量进行统计并限流，超过部分丢弃。 基于会话的限流：即对每条UDP会话上的报文速率进行统计，企业级万兆防火墙，如果会话上的UDP报文速率达到了告警阈值，这条会话就会被锁定，后续命中这条会话的UDP报文都被丢弃。当这条会话连续3秒或者3秒以上没有流量时，防火墙会解jie锁此会话，后续命中此会话的报文可以继续通过。限流虽然可以有效缓解链路带宽的压力，但是这种方式简单粗暴，容易对正常业务造成误判。为了解决这个问题，华为防火墙又进一步推出了针对UDP Flood的***学习功能。

***学习是通过分析客户端向服务器发送的UDP报文载荷是否有大量的一致内容，来判定这个UDP报文是否异常。防火墙对到达指zhi定目的地的UDP报文进行统计，当UDP报文达到告警阈值时，开始对UDP报文的***进行学习。如果相同的特征频繁出现，就会被学习成***，后续命中***的报文判定这是攻击报文，作为攻击特征进行过滤。

华思特(图)-企业级万兆防火墙-广州万兆防火墙由深圳市华思特科技有限公司提供。行路致远，砥砺前行。深圳市华思特科技有限公司（www.fastchina.net）致力成为与您共赢、共生、共同前行的战略伙伴，更矢志成为网络工程具影响力的企业，与您一起飞跃，共同成功!同时本公司（www.hst333.com）还是从事深圳华为交换机，广州华为交换机，东莞华为交换机的厂家，欢迎来电咨询。