返回
防火墙技术例子(8.10防火墙技术)
防火墙技术例子(8.10防火墙技术)
2024-11-08 05:51:19  作者:沐风秋雨  网址:https://m.xinb2b.cn/sport/izu276260.html

一、防火墙产生背景

企业内网要经常连接因特网,就有可能有一些攻击的行为,攻击到企业的内网当中来,如果没有防火墙,企业内网的安全性主要就是由整个企业里面的各个主机自己提供。那么根据短木板的原理,只要有一台计算机安全性是非常差的话,那么整个企业网络的安全性就是以它为准的。防火墙将企业内网外网进行了一定的隔离,阻断来自外部网络的攻击行为。

二、防火墙组成

防火墙是硬件和软件的统称,防火墙有防火墙的硬件,也有防火墙软件来实现相应的控制过程。

三、防火墙划分网络区域

(一)防火墙至少会把网络划分为两个区域,一个是安全区域、一个是不安全区域。

(二)防火墙划分三个区域


上图拓扑图当中,发现这个防火墙其实是有三个接口,那么三个接口其实就是连接了三个区域。

第一个接口,连接内网,防火墙会认为是安全的局域网络,安全级别默认为100。

第二个接口,连接外网,是不安全的网络,安全级别为0,也就是充满危险的。

第三个接口,连接DMZ区域,也叫做军事化区域,主要用于存放一些需要对外网来提供服务的服务器,能够使得外网主机能够主动访问DMZ区域当中的一些服务器,所以像WEB服务器也好,FTP服务器也好,我们都会统一的放在DMZ区域,DMZ区域安全级别划分为50,安全级别是介于安全网络和不安全网络之间的。当然这是因为划分了DMZ区域,就可以放在这里,如果没有划分DMZ区域,就只能放在安全内网里面。

(三)为什么要划分DMZ区域?

因为来自外网的攻击大部分是攻击服务器,使得企业的某一些服务不能正常提供,比方防火墙没有对攻击流量进行很好阻断,那么这些攻击流量就会攻击DMZ区域,导致DMZ区域可能出现问题,但是局域网当中各个主机还是可以进行访问外网,所以从一定程度上讲,防火墙可以隔离安全的网络。

四、防火墙的功能

防火墙的功能主要是提供相应的访问控制、流量控制等,对所有的流量都会进行检测,然后会有相应的日志系统记录所有流量的详细情况,所以所有流量都要经过防火墙的监控,都要经过防火墙的控制来决定这个流量能不能通过防火墙。

防火墙还可以提供附加功能,比方像NAT地址转换,还有SSL也可以在防火墙上面做访问控制。

五、防火墙的工作模式

(一)路由模式的防火墙

路由模式防火墙类似于一台路由器,路由模式防火墙的每一个接口,有连接内网的、连接DMZ区域的、连接外网的,各个接口都配置了IP地址。

因为各个接口都有IP地址,所以如果内网里面的IP地址发生了变化 或者拓扑结构发生了变化,防火墙上面也要做相应的更改,否则连通性就会收到影响。

可以在内网当中采用NAT静态地址转换,DMZ区域采用动态NAT地址转换来访问外网。

(二)透明模式防火墙

透明模式防火墙就类似于一台交换机,所以对内网和DMZ区域而言,都是属于一个网络的,然后他们的流量都会经过防火墙,但是他们自己并不清楚,大家都处于同一个网段,所以称之为透明模式。

透明模式防火墙就类似于一台交换机,所以说网络当中的拓扑IP发生了相应的变化的话,对于这台防火墙而言,不需要做太多的修改,比较容易实现。

透明模式防火墙各个接口没有IP地址,不能实现NAT地址转换,在透明模式下,需要有一台出口路由器,实现NAT地址转换。

(三)混合模式防火墙

混合模式就是结合路由模式和透明模式的特点,使得这台防火墙既可以工作在路由模式,又可以工作在透明模式。

六、防火墙技术分类

(一)包过滤防火墙(网络层)

1、包过滤防火墙是工作在网络层的。

2、包过滤防火墙会根据IP包头的源目IP地址、端口号、协议等标志来确定是否允许数据包通过,也就是在防火墙当中会进行设定,所以我们看到网络层IP数据包格式就会有防火墙的检查模块,然后会去检查匹配防火墙的规则,是否匹配,再决定是否丢弃或者是转发数据包。

3、包过滤防火墙 匹配规则是按照顺序来进行匹配的,匹配第一个没有匹配上,继续匹配第二个。

4、包过滤防火墙数据转发速度是比较快的,因为数据包到达防火墙之后,只是检查到网络层就不继续往上检查了。

(二)代理层防火墙(应用层)

代理层防火墙工作OSI应用层。客户端请求访问服务器,如果访问被允许通过,那么请求就会被代理防火墙接管。代理防火墙接管之后,对于服务器,其实是在跟代理型防火墙在进行通信,对于客户端,也是跟代理型防火墙通信,中间有一个代理型防火墙来转发他们通信的过程。代理型防火墙会对外网屏蔽内网的信息,所以客户端并不知道内网详细信息。代理型防火墙可以允许或拒绝特定的应用程序或服务,也可以实施数据流的监控和过滤,然后记录和报告,主要是指记录日志方面的信息。包过滤防火墙的日志系统是不够发达的,而这个应用层的代理型防火墙日志功能是非常全面的。代理型防火墙通常还具有高速缓存的功能,从而可以实现快速的传输。代理防火墙因为在网络层进行转发,然后一直要检测到应用层,对这个数据进行监控和检测、匹配规则,如果说运行通过的话,再回到网络层进行转发,所以比较消耗时间,但可以提供高速缓存能力。

(三)状态检测型防火墙

1、状态监测型防火墙是基于包过滤防火墙的改进,也是工作在网络层。

2、状态监测型防火墙可以动态的根据实际应用需求自动生成包过滤规则。而包过滤防火墙,主要是静态来实现包过滤规则。

3、包过滤防火墙在内网要访问外网的时候,是高安全级别向低安全级别的访问,就会运行被通过。如果外网对内网进行回应,如果没有制定相应的包过滤规则,就会被阻断。

4、状态检测型防火墙会动态产生包过滤规则,在内网访问外网之后,就会自动建立一个带时间周期的连接状态表,当外网响应的时候,就知道是一个响应包,然后这个包就可以被进行转发。

  • iphone13真机模型(iPhone13系列模型机VS)
  • 2024-11-08iPhone13系列模型机VSiPhone13发售日临近,相信大家已经看够了各种五花八门的爆料甚至还有很多果粉吐槽“开局一张图,正文全靠编”确实,光看渲染图也感受不出来有什么新变化嘛所以今天为大家带来点更加靠谱的进展:模型机直接上。
  • 华为最新款手机MAte60(华为Mate 60系列上架官方商城)
  • 2024-11-08华为Mate 60系列上架官方商城就在刚刚,华为官方商城上架了华为Mate60Pro,12GB512GB版本售价6999元华为官方表示:今天,华为Mate系列手机累计发货达到了一亿台,感谢每一位消费者的支持与热爱!为此,我们推出了“H。
  • 接什么不什么四字成语
  • 2024-11-08接什么不什么四字成语接连不断jiēliánbùduàn成语解释连续不间断成语出处明冯梦龙《东周列国志》:“陈设兵卫,自王宫起,直至光家之门,街衢皆满,接连不断”常用程度常用成语感情色彩中性成语成语用法联合式;作谓语、定语。
  • 包头周边秋天游景点推荐(包头这些地方绝对是赏秋胜地)
  • 2024-11-08包头这些地方绝对是赏秋胜地一年一度的十一长假来啦!秋高气爽的好时节正适合游玩小伙伴们是不是已经按捺不住激动的小心脏了呢?小编想了很长时间,黄金周,既要玩好又要休息好,那就不能走太远小编给小伙伴们准备一份秋色包头游攻略足够全啦,。
  • 松茸的吃法与功效禁忌(松茸的功效和作用)
  • 2024-11-08松茸的功效和作用你肯定不知道!松茸的功效和作用,松茸的吃法很简单,高端的食材往往只需要采用最朴素的烹饪方式,如此便能完整地保留松茸的美味与营养松茸炒饭的做法步骤1.准备适量的新鲜松茸2.准备适量的新鲜松茸,清洗干净,。
  • 香蕉快要面临灭绝了吗(不可思议的香蕉)
  • 2024-11-08不可思议的香蕉香蕉只是长得比较壮的草?很多人对于这个答案都会觉得不可思议,在网络上有很多香蕉种植园的图片,从图片上看,高达三四米的粗壮香蕉植株,怎么看都具有称之为“树”的特征,怎么会仅是长得比较壮的“草”呢?无奈的。
  • 激素脸怎么正确修复(激素脸怎么改善)
  • 2024-11-08激素脸怎么改善“这种皮肤问题有那么难以解决吗?我也是激素脸,看起来也不是很严重,本来还觉得没什么,可是看到网上很多都说多么的难搞,多么容易反复,把我吓得不轻JSL到底该怎么改善才好呢?”小桃护肤老师:激素脸怎么改善。
  • 注意了社保的三大谣言(请收好这份社保防骗小贴士)
  • 2024-11-08请收好这份社保防骗小贴士近段时间,小妮子经常在“成都人社局”官方微信微博后台收到这类咨询......于是,小妮子立马询问了成都人社咨询热线12333的同事们最近此类咨询多不多?嗨呀!不问不晓得,一问吓一跳!好多小伙伴都在向我。
  • 叶玉卿演过潘金莲吗
  • 2024-11-08叶玉卿演过潘金莲吗叶玉卿没有演过潘金莲,叶玉卿是香港女演员,长的很漂亮,演过很多电影电视剧,但是并没有演过潘金莲,她还是歌手,唱过一些歌,叶玉卿年轻时参加第一届“亚洲小姐”选美活动,夺得季军、最有性格小姐和最健美小姐三。
  • 极品飞车手游预约(多人竞速手游极品飞车)
  • 2024-11-08多人竞速手游极品飞车多人竞速手游《极品飞车™》,10月28日震撼开测!多人在线即时竞速,豪华跑车引擎轰鸣多辆豪华超跑任你驾驭,改装升级超越真实对手巅峰燃擎,即刻开赛,赶紧发动你的引擎!《极品飞车™》28日燃擎开测!与真实。