首页
运维教程
Linux基础
系统服务
系统架构
数据库
shell脚本
虚拟化
大数据
DevOps
企业案例
运维开发
python
go语言
运维安全
行业资讯
网络基础
系统安全
运维面试
学习路线
学习方法
面试题库
职场解惑
软件
运维软件
办公软件
书籍资源
技术陪跑营
重要信息

防火墙技术介绍

一、什么是防火墙?

百度百科对防火墙做了一个定义:
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术

通俗的说它是一个连接两个或者多个网络区域,并且基于策略限制区域间流量的设备。

防火墙技术的主要功能功能在于及时发现并处理计算机网络运行时候可能存在的安全风险,数据输出等问题。

这里面也包括处理措施,比如隔离与保护,并对计算机网络安全当中的各项操作实施记录和检测,依次为用户提供更好,更好的计算机网络体验。

二、防火墙的分类?

防火墙的分类方法,主要有以下6种:
1、软、硬件形式分类:软件防火墙、硬件防火墙、芯片级防火墙。

2、防火墙技术分类:包过滤型防火墙、应用代理型防火墙 。

3、防火墙结构分类:单一主机防火墙、路由器集成式防火墙、分布式防火墙。

4、防火墙的应用部署位置分类:边界防火墙、个人防火墙、混合防火墙。

5、防火墙性能分类:百兆级防火墙、千兆级防火墙。

6、防火墙使用方法分类:网络层防火墙、物理层防火墙、链路层防火墙。

防火墙技术有很多种,其中以下三类比较常见:

1、包过滤防火墙
第一代防火墙技术。
它按照安全规则,检查所有进来的数据包,而这些安全规则大都是基于底层协议的,如IP、TCP。如果一个数据包满足以上所有规则,过滤路由器把数据向上层提交,或转发此数据包,否则就丢弃此包。

包过滤的优缺点

优点:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。

缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略。

  1. 代理服务器(软件防火墙的主流技术,经常为web流量使用代理服务器。特点:两个tcp会话、性能低下、支持的运用少,基于运用、运行在osi的高层,最安全的防火墙、web cache)

这种防火墙的工作方式和过滤数据包的防火墙、以路由器为基础的防火墙的工作方式稍有不同。它是基于软件的

代理技术的优缺点

优点:代理易于配置;代理能生成各项记录;代理能灵活、完全地控制进出的流量、内容;代理能过滤数据内容;代理能为用户提供透明的加密机制;代理可以方便地与其他安全手段集成。

缺点:代理速度较路由器慢;代理对用户不透明;对于每项服务代理可能要求不同的服务器;代理服务不能保证你免受所有协议弱点的限制;代理不能改进底层协议的安全性

3、状态监控包过滤防火墙(硬件防火墙的主流技术,为穿越的tcp和udp流量维护状态化表项。)
I:返回的数据包首先查询状态化表项,如果是以前连接的一部分,就算被acl拒绝也可以穿越防火墙;
Ii:状态化表项的维护:tcp/udp源目端口,源目ip地址,序列号,flag位;
Iii:高性能,硬件防火墙的主流技术;

三、什么是DMZ?

DMZ,是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”.主要用于连接服务器和vpn设备

它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内.

在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。

因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。

面试题:
1. 下列哪些设备应该放在DMZ区?
A, 认证服务器,B.邮件服务器 C. 数据库服务器 D.web服务器

答案你觉得会是哪个呢?
当然是web服务器,选D。

刚刚说过,DMZ是为了解决安装防火墙后,外部网络不能访问内部网络服务器的问题,所以设立一个非安全系统和安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。

对于攻击者来说,多了一道关卡。

DMZ的两种连接方式?
画个图来表示下:
第一种方式:

第二种方式:

内网DMZ与外网之间的访问规则:

当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。

1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。

2.内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务器。

3.外网不能访问内网 很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。

4.外网可以访问DMZ DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。

5.DMZ不能访问内网 很明显,如果违背此策略,则当入侵者攻陷DMZ时,就可以进一步进攻到内网的重要数据。

6.DMZ不能访问外网 此条策略也有例外,比如DMZ中放置邮件服务器时,就需要访问外网,否则将不能正常工作。在网络中,非军事区(DMZ)是指为不信任系统提供服务的孤立网段,其目的是把敏感的内部网络和其他提供访问服务的网络分开,阻止内网和外网直接通信,以保证内网安全

四、 Cisco ASA安全特性介绍

防火墙的三种类型:
1) 包过滤
2)代理服务器
3) 状态化包过滤

  1. ASA : 状态监控包过滤

ASA5500系列
常见型号: 5505, 5510 , 5520, 5540 , 5550 , 5580

2、Cut through(对穿越的用户进行认证)
3、运用层过滤 (如url过滤,过滤qq、迅雷等)
4、MPF(类似于mqc,即class-map、policy-map的一种模块化的安全架构)
5、Ipsec vpn
6、Ssl vpn
7、IPS (需要ips模块)
8、多模式防火墙(虚拟防火墙,可以把一个虚拟成多个防火墙)
9、FO(ASA的高可用性,即ASA的冗余备份)
10、透明防火墙 (具有状态监控包过滤的交换机,根据mac来进行转发)
11、ASDM (图形化界面网管ASA)

本文链接:http://www.geekyunwei.com/1540.html

网友评论comments

发表评论

您的电子邮箱地址不会被公开。 必填项已用*标注

暂无评论

Copyright © 2021 极客运维 公众号《极客运维之家》
扫二维码
扫二维码
返回顶部