介绍

防火墙是监视网络流量并在通过或阻止它之前将其与一组规则进行比较的软件或硬件

防火墙类型

防火墙有多种分类方法。对防火墙进行分类的一种方法是看它们是否是独立的设备:

硬件防火墙（设备防火墙）：顾名思义，设备防火墙是网络流量必须经过的独立硬件。示例包括 Cisco ASA（自适应安全设备）、WatchGuard Firebox 和 Netgate pfSense Plus 设备
软件防火墙：这是一款与操作系统捆绑在一起的软件，您也可以将其作为附加服务安装。MS Windows 有一个内置的防火墙，即 Windows Defender 防火墙，它与其他操作系统服务和用户应用程序一起运行。另一个例子是 Linux iptables 和 firewalld

从红队的角度来看，最关键的分类将基于防火墙检查能力。下图所示的 ISO/OSI 层方面的防火墙功能值得考虑。在我们根据防火墙的能力对防火墙进行分类之前，值得记住的是，防火墙侧重于第 3 层和第 4 层，在较小程度上关注第 2 层。下一代防火墙还旨在覆盖第 5、6 和 7 层。防火墙可以检查的层越多，它就越复杂，它需要的处理能力也就越强。 Firewalls - 图1

根据防火墙的能力，我们可以列出以下防火墙类型:

Packet-Filtering Firewall ：包过滤是最基本的防火墙类型。这种类型的防火墙检查协议、源和目标 IP 地址，以及TCP和 UDP 数据报的源和目标端口。它是一个无状态的检查防火墙。
Circuit-Level Gateway ：除了包过滤防火墙提供的功能外，Circuit-Level Gateway 还可以提供额外的功能，例如根据防火墙规则检查TCP三向握手。
Stateful Inspection Firewall：与之前的类型相比，这种类型的防火墙提供了额外的保护层，因为它跟踪已建立的TCP会话。因此，它可以检测并阻止已建立的 TCP 会话之外的任何 TCP 数据包。
Proxy Firewall ：代理防火墙也称为应用程序防火墙 (AF) 和 Web 应用程序防火墙 (WAF)。它旨在伪装成原始客户端并代表其请求。此过程允许代理防火墙检查数据包有效负载的内容，而不是仅限于数据包标头。一般来说，这用于 web 应用程序，并不适用于所有协议。
Next-Generation Firewall (NGFW)：NGFW 提供最高级别的防火墙保护。它实际上可以监控所有网络层，从 OSI 第 2 层到 OSI 第 7 层。它具有应用程序感知和控制。示例包括 Juniper SRX 系列和 Cisco Firepower。
Cloud Firewall or Firewall as a Service (FWaaS)：FWaaS 取代了云环境中的硬件防火墙。它的功能可能与 NGFW 相当，具体取决于服务提供商；但是，它受益于云架构的可扩展性。一个例子是 Cloudflare Magic Firewall，它是一种网络级防火墙。另一个例子是瞻博网络 vSRX；它具有与 NGFW 相同的功能，但部署在云端。还值得一提的是用于 Web 应用程序保护的 AWS WAF 和用于DDoS保护的 AWS Shield