admin 管理员组文章数量: 887021
工程师CCNA=HCIA
资深工程师CCNP=HCIP
技术专家CCIE=HCIE
- IPS:入侵防御系统,发现攻击和入侵进行阻断
- IDS:入侵检测系统,检测有无攻击
- 漏洞扫描:发现本地服务器/PC,存在哪些中高低危的风险,解决漏洞保证网络安全
- DoS:拒绝服务,攻击有计算机网络宽带攻击和连通性攻击
- DDOS:分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击,使攻击的目标无法正常使用
防火墙是一个系统,通过过滤传输数据达到防止未经授权的网络传输侵入私有网络,阻止不必要流量的同时允许必要流量进入。
防火墙旨在私有和公共网络间建立一道安全屏障,因为在网上总会有黑客和恶意攻击想要侵入私有网络搞破坏。
防火墙会过滤想要进入网络传输的信息,利用既有规则来判断是否可以进入,这些规则又被称为访问控制列表,网络管理者可以定制规划该规则:管理者不仅可以决定哪些数据进入网络,也可以决定哪些数据去到公网,通过规则掌控允许或禁止。
防火墙不仅根据IP地址制定规则,也可以针对域名,协议,软件,端口和关键字来制定。
防火墙有不同的类型:
一种是主机型防火墙,属于软件类防火墙。安装在计算机中,只对安装的这台进行保护。例如最新的Win系统预安装了该类防火墙;也可以购买安装第三方公司开发的该类防火墙,例如ZoneAlarm一款知名的防火墙程序;许多杀毒软件也会内置该类防火墙
另一种类型的防火墙叫做网络型防火墙。由硬件和软件共同构成,运行在网络层上,放置在私有和公共网络之间,不像主机型防火墙只保护单一电脑而是保护整个网络。通过应用于整个网络的管理规则来实现,恶意攻击在传入电脑之前就会被拦截。
网络型防火墙可以当作独立的产品主要用于大型组织,可以内置在路由器中,此类很多小组织再用,也可以部署在服务器云架构中。
可以用网络型防火墙保护整个网络,用主机型防火墙保护电脑和服务器。
防火墙部署在区域边界。路由器(快速转发,少查路由表)与交换机(透明转发——不对数据包进行任何修改)的本质是转发,防火墙(具备路由和交换功能)的本质是控制。
防火墙特征
- 逻辑区域过滤器
- 逻辑层面区分某区域的安全性
- 比如逻辑上认为内网是安全的,则将其划分为值得信赖的
- 隐藏内网网络结构
- 内网有众多终端设备,但对于防火墙外部仅有一个对外出口地址
- 自身安全保障
- 主动防御攻击
防火墙分类
- 按照形态划分:
- 硬件防火墙
- 软件防火墙
- 按照保护对象划分
- 单机防火墙:保护单台主机
- 网络防火墙:保护整个网络
- 按照访问控制方式分为:
- 包过滤防火墙
-
-
- 源端到目的端访问,通过检测数据报文头部进行安全控制
-
- 无法关联数据包之间关系
- 例如,访问ftp服务基于TCP协议:通信三次握手,过程有一定逻辑性。包过滤防火墙无法找到其逻辑性和关系,会导致TCP建立不起来。
- 无法适应多通道协议
- ftp有两个通道(控制通道;数据通道),先通过控制通道进行用户认证,认证完成后进行数据的上传下载。包过滤防火墙无法关联控制通道和数据通道。
- 通常不检查应用层数据
- tcp/ip协议三次握手无法进行
- 应用层数据通常需要tcp/ip建立连接进行数据传递
-
-
- 现在一般不使用
-
-
-
- 转发原理——访问控制列表ACL
-
- ACL可以通过定义规则来允许或拒绝流量的通过。 ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类,并对不同类型的报文进行不同的处理。
- ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。 设备可以依据ACL中定义的条件(例如源IP地址)来匹配入方向的数据,并对匹配了条件的数据执行相应的动作。
-
- 代理防火墙
-
-
- 源端到目的端访问,通过检测数据报文头部进行安全控制
-
- 处理速度慢
- 每一次请求都需要代理防火墙进行安全检测才能正常通信
- 访问量过多时,无法正常发送数据
- 升级困难
- 升级时防火墙不工作,无法检查包是否正常
-
-
- 现在一般不使用
-
版权声明:本文标题:【计算机基础】防火墙 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.freenas.com.cn/jishu/1729157863h1325021.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论