防火墙思维导图

包过滤防火墙充当网络层的检查点，并将每个数据包的头部信息与一组预先建立的标准进行比较。这些防火墙检查包头的五元组信息

①低成本。 ②低资源消耗 ③快速包过滤和处理 ④擅长筛选内部部门之间的流量 ⑤对网络速度和最终用户体验的影响最小 ⑥多层防火墙策略中出色的第一道防线

①无法在应用层进行过滤 ②对于有经验的黑客来说很容易绕过 ③不检查数据包有效负载（实际数据） ④无用户身份验证或日志记录功能 ⑤访问控制列表的设置和管理难度大 ⑥易受到 IP 欺骗攻击，因为它单独处理每个数据包

代理防火墙（或应用级网关）充当内部和外部系统之间的中介。这类防火墙会在客户端请求发送到主机之前对其进行屏蔽，从而保护网络

代理防火墙在应用层运行，具有深度包检测 (DPI)功能，可以检查传入流量的有效负载和标头

当客户端发送访问网络的请求时，消息首先到达代理服务器。 防火墙会检查以下内容： ①标头信息。 ②内容本身。 ③客户端和防火墙后面的设备之间的先前通信（如果有的话） 然后代理屏蔽该请求并将消息转发到Web 服务器。此过程隐藏了客户端的 ID。服务器响应并将请求的数据发送给代理，之后防火墙将信息传递给原始客户端。

代理防火墙是企业保护 Web应用免受恶意用户攻击的首选

①解除地理位置限制 ②DPI检查数据包标头和有效负载 ③检测并阻止网络层不可见的攻击 ④对网络流量进行细粒度的安全控制 ⑤对潜在威胁行为者隐藏内部 IP 地址 ⑥在客户端和网络之间添加了一个额外的隔离层

①不兼容所有网络协议 ②设置和管理具有挑战性 ③由于处理开销高，不如其他类型的防火墙成本低 ④由于彻底的数据包检查和额外的通信步骤，会导致延迟增加

状态检测防火墙（或动态包过滤防火墙）在网络层和传输层监控传入和传出的数据包。这类防火墙结合了数据包检测和 TCP 握手验证。 状态检测防火墙维护一个表数据库，该数据库跟踪所有打开的连接使系统能够检查现有的流量流。该数据库存储所有与关键数据包相关的信息，包括： ①源IP ②源端口 ③目的 IP ④每个连接的目标端口

当一个新数据包到达时，防火墙检查有效连接表。检测过的数据包无需进一步分析即可通过，而防火墙会根据预设规则集评估不匹配的流量

①减少对端口扫描器的暴露 ②详细的日志记录功能，有助于数字取证 ③在阻止利用协议缺陷的攻击方面表现出色 ④过滤流量时会自动通过以前检查过的数据包 ⑤无需打开大量端口来让流量进出，这可以缩小攻击面

①比包过滤防火墙更昂贵 ②需要高水平的技能才能正确设置 ③通常会影响性能并导致网络延迟 ④不支持验证欺骗流量源的身份验证 ⑤容易受到利用预先建立连接的 TCP Flood攻击

下一代防火墙(NGFW)是将其他防火墙的多种功能集成在一起的安全设备或程序。这样的系统提供： ①TCP 握手检查 ②表层数据包检测 ③分析流量内容的深度数据包检测（DPI）

下一代防火墙还包括额外的网络安全措施，例如： ①SSH检查 ②IDS 和 IPS ③防病毒程序 ④恶意软件扫描和过滤 ⑤网络地址转换 (NAT) ⑥服务质量 (QoS)功能 ⑦高级威胁情报（模式匹配、基于协议的检测、基于异常的检测等）

NGFW 是医疗保健或金融等受到严格监管的行业的常见选择

①日志记录功能 ②检查从数据链路层到应用层的网络流量 ③将传统防火墙功能与高级网络安全功能相结合

①存在单点故障 ②部署时间缓慢 ③影响网络性能 ④比其他防火墙更昂贵 ⑤需要高度的专业知识才能设置和运行

这个阶段的主要目的是解析出报文的帧头部和IP报文头部。根据头部当中的信息进行一些基础的安全检测。 首先根据接收报文的接口是二层还是三层：两种处理方式：

这个阶段是FW的核心处理环节，主要的安全功能都在这个阶段实现。FW根据该报文是否存在匹配的会话表项，有以下两种处理方式: 有会话：匹配会话 没有会话：首包创建会话

这个阶段的主要目的是对流量进行持续的安全防护，同时保证报文被正确发送