思科CCIE安全Security培训考试理论-Firewall防火墙技术分类

【WOLF-LAB实验室】思科CCIE安全Security培训考试理论课程（CCNA、CCNP、CCIE）都在循环开班，联系网站客服预约免费试听学习！

WOLFLAB官方微信：17316362402

WOLFLAB官方QQ：2569790740

思科CCIE安全防火墙技术----基本引入：

⚫（广义上）防火墙技术分类：

⚫防火墙技术对比：

⚫Stateless Packet Filtering：无状态包过滤；

•特点：

依赖静态的策略来允许和拒绝数据包；

对静 3-4 层的流量（动态 TCP 应用除外）访问控制效果非常出色；

透明且占用资源小；

通常使用限制的访问控制技术；

古老的防火墙技术，使用访问控制列表 ACL；

•缺点：

•不支持动态 TCP 应用（语音流量、FTP）；

•不能抵御探测攻击；

•产品：

Cisco PIX 系列产品；

⚫Sateful Packet Filtering：状态化包过滤；

•特点：

自动记录流量特征，为穿越 TCP 和 UDP 流维护状态化表项（连接表）；

◊为每个 TCP 和 UDP 流维护状态化表项（Sateful session flow table）；

◊数据包进入设备首先查询状态化表项，如果属于出项流量的返回数据包，即使被 ACL 拒绝也可以进入设备；

◊状态化表项维护：TCP 源目端口、源 IP、序列号、Flag 位；

可靠的 3-4 层访问控制；

透明且占用资源小；

通常使用限制的访问控制技术；

•缺点：

不能洞察 5-7 层流量；

不支持加密的动态应用；

⚫Sateful Packet Filtering with Application Inspection Control：应用层监控和控制的状态化包过滤；

•特点：

可靠的 3-7 层访问控制；

透明、占用资源中等；

通常使用限制的访问控制技术；

实现针对应用层服务的深度检测、定义策略、匹配关键字等功能；

•缺点：

应用层监控和控制影响性能；

对应用层监控和控制的能力有限；

•产品：

Cisco ASA 系列产品；

Cisco Firepower FPR-ASA 系列产品；

⚫Network Intrusion Prevention Systems：网络入侵检测系统；

•特点：

通过强大的特征数据库匹配网络攻击行为，并执行防御措施；

基于宽容机制，未匹配上特征即放行；

一种网络设备硬件版的杀毒软件；

•缺点：

需要周期性维护特征数据库；

存在误报误杀的可能；

•产品：

Cisco IPS 系列产品；

Cisco Firepower NGIPS 系列产品

⚫Network Behavior Analysis：网络行为分析；

•特点：

网络行为分析自动学习网络流量模型建立基线；

探测和防御异常行为抵御未知攻击；

一种高可视化的安全分析平台；

•缺点：

在不稳定的网络环境易报错；

自动学习时间越长越精准，反之易报错；

•产品：

Cisco Stealthwatch 系列产品；

⚫Application Layer Gateways（Proxies）:应用层网关（代理服务器）；

•特点：

可靠的 3-7 层访问控制；

自动对协议进行规范化处理；

能够采用宽容和限制的访问控制技术；

软件防火墙的主流技术，经常为 Web 流量使用代理服务器（网页缓存）；

•局限性：

不能广泛的支持所有应用；

不适合对实时流量采取这种技术；

不透明；

•产品：

Cisco WSA 系列产品

Cisco ESA 系列产品

免费试听

https://www.wolf-lab.com/

WOLFLAB官方微信：17316362402

WOLFLAB官方QQ：2569790740

思科CCIE安全Security培训考试理论课程学习，可联系WOLFLAB网络技术实验室

CCNA、CCNP、CCIE安全循环开班！