[ 笔记 ] 计算机网络安全_5_防火墙原理与设计

原创 已于 2022-05-28 10:58:44 修改 · 3k 阅读 · 24 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络 #安全

于 2022-05-28 10:43:05 首次发布

[笔记] 计算机网络安全:(5)防火墙原理与设计

  1. 网络安全基础
  2. internet协议的安全性
  3. Web安全
  4. 网络扫描和网络监听
  5. 防火墙原理与设计
  6. 入侵检测系统
  7. VPN技术

目录

5.1 防火墙概述

5.1.1 防火墙概述

  • 防火墙是建立在内外网络边界上的过滤封锁机制,内部网络被认为是安全和可信赖的,而外部网络(通常是Internet)被认为是不安全和不可信赖的。
  • 防火墙的作用是防止不希望的、未经授权的通信进出被保护的内部网络,通过边界控制强化内部网络的安全政策。
  • 两个安全域之间通信流的唯一通道,内外网之间的所有数据流都要流经防火墙
  • 防火墙根据访问控制规则决定进出网络的行为

防火墙的功能

  • 根据不同的需要,防火墙的功能有比较大差异,但是一般都包含以下三种基本功能。

    • 限制外部未授权的用户进入内部网络,过滤掉不安全的服务和非法用户

    • 限制内部用户访问特殊站点或不安全的服务

    • 防止入侵者接近内部网络

5.1.2 防火墙对数据流的处理方式

  1. 允许数据流通过
  2. 拒绝数据流通过,并向发送者回复一条消息,提示发送者该数据流 已被拒绝
  3. 将数据流丢弃,不对这些数据包进行任何处理,也不会向发送者发送任何提示信息。发送者只能等到超时才知道发送不成功

5.1.3 防火墙须满足的要求

  1. 所有进出网络的数据流都必经防火墙
  2. 只允许经过授权的数据流通过防火墙
  3. 防火墙自身对入侵是免疫的

5.1.4 防火墙的分类

  • 从形态角度分类
    • 硬件防火墙:专门设计的网络设备,安装了防火墙软件,本质上还是软件在进行控制
    • 软件防火墙:运行在一台或多台计算机之上的特别软件从保护对象角度分类
  • 从保护对象角度分类
    • 网络防火墙:保护整个网络
    • 单机/个人防火墙:保护单台主机
  • 从实现技术角度分类
    • 分组过滤防火墙(Packet Filtering)
      • 作用在网络层和传输层,根据包头源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过
    • 状态检测防火墙(Status Detection)
      • 直接对分组里的数据进行处理,并且结合前后分组的数据进行综合判断,然后决定是否允许该数据包通过。
    • 应用代理防火墙(Application Proxy)
      • 也叫应用网关(Application Gateway),它作用在应用层,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用

网络层次模型与防火墙类型的关系

在这里插入图片描述

默认策略(两种)

  • 默认接受:是指除非明确地指定禁止某个分组,否则分组是可以通过的。
  • 默认拒绝:除非明确地指定允许某个分组通过,否则分组是不可以通过的。
  • 从安全的角度讲,默认拒绝应该是更安全的

5.1.5 防火墙的特性分析

  • 防火墙是Internet安全的最基本组成部分,但仅采用防火墙并不能给整个网络提供全局的安全性
    • 无法防御内部攻击
    • 对绕过防火墙的连接却无能为力。
  • 防火墙必须允许一些重要服务通过,但是也为攻击者提供了攻击内部网络的机会。
  • 防火墙自身的安全性比普通主机更高,凡是与防火墙的功能实现不相关但又可能给防火墙自身带来安全威胁的网络服务和程序,都应从防火墙中去掉。

采用防火墙保护内部网有以下优点

  • 防火墙允许网络管理员定义一个中心“扼制点”来防止非法用户(如黑客和网络破坏者等)进入内部网
  • 可以集中实施相关安全策略,增强保密性和强化私有权
  • 在防火墙上可以很方便地监视网络的安全性,并产生报警。
  • 防火墙是审计和记录Internet使用量的一个最佳地方。

5.1.6 防火墙的发展史

迭代 技术
第1代 包过滤
第2代 电路级网关
第3代 应用级网关
第4代 动态包过滤
第5代 内核代理,自适应代理
第6代 统一威胁管理UTM

5.2 常用防火墙技术

5.2.1 静态包过滤防火墙

特点

  • 采用过滤模块实现
  • 较高的安全性
  • 直接使用路由器软件过滤
  • 无需购买专门设备
  • 减少投资

操作

  • 接收每个到达的数据包
  • 对数据包采用过滤规则,对数据包的IP头和传输字段内容进行检查
  • 如果没有规则与数据包头信息匹配,则对数据包施加默认规则。

工作层次

静态包过滤防火墙是最原始的防火墙,静态数据包过滤发生在网络层/ 传输层

原理

  • 作用在网络层和传输层,根据分组头部源地址、目的地址和端口号、协议类型等标志确定是否允许数据包通过,只有满足过滤逻辑的数据包才被转发到相应的目的地的出口端,其余的数据包则从数据流中丢弃。
  • 其核心是安全策略即过滤规则的设计,过滤过程就是根据过滤规则对数据包进行检查。
  • 过滤位置:在网络入口处、网络出口处对数据包过滤
  • 一般来说,不保留前后连接信息,利用分组过滤技术很容易实现允许或禁止访问。
  • 方式单一,逐包检查,注意策略一致性问题

检查内容

对于静态包过滤防火墙来说,决定接收还是拒绝数据包,取决于对数据包中IP头和协议头等特定域的检查和判定

  • 数据源地址
  • 源端口号
  • 目的地址
  • 目的端口号
  • 应用或协议

实例1

Interface src sport des dport
1 130.33.0.0 * * *
1 * * * 21
1 * * 193.77.21.9 *
2 * * * 80
  • 拒绝来自130.33.0.0的数据包,这是一种保守策略
  • 拒绝来自外部网络的Telnet服务(端口号为23)的数据
  • 拒绝试图访问内网主机193.77.21.9的数据包
  • 禁止HTTP服务(端口号为80)的数据包输出

实例2

规则 方向 src des protocal sport dport ACK 动作
A 172.46.23.45 * TCP >1023 23 任意 允许
B * 172.45.23.45 TCP 23 >1023 允许

配置

  • 必须用设备提供商可支持的语法重写这些表达式
  • 必须用逻辑表达式清楚地表述数据包的类型
  • 管理员必须明确企业网络的安全策略

过滤规则制定的策略

  • 按地址过滤:源IP、目的IP
    • 防地址欺骗
    • 对外部地址取消信任
最低0.47元/天 解锁文章
配置防火墙telnet
weixin_39899118的博客
06-07 1584
拓扑图如下: 只有PC可以telnet到防火墙(ISP不能telnet防火墙) @防火墙配置: 1,接口配置IP及接口加入安全区域 int g1/0/0 ip ad 200.1.1.1 30 service-manage telnet permit int g1/0/1 ip ad 192.168.1.254 24 firewall zone trust add int g1/0/1 #firewall zone untrust add int g1/0/0 2,配置telnet [USG600V1]
计算机系统和网络安全技术】第九章:防火墙入侵防御系统
ymx520haha的博客
02-25 965
疯了疯了
系统安全分析设计---网络安全防火墙
JavaKK
09-22 883
网络安全 网络威胁攻击 防火墙网络级 过滤固定IP段 包过滤 状态检测 应用级 检查具体内容 双穴主机 屏蔽主机 屏蔽子网(最安全,内部攻击不 能屏蔽)
防火墙结构之屏蔽主机体系结构
whoim_i的博客
11-27 9191
什么是屏蔽主机体系结构? 被屏蔽主机体系结构是指通过一个单独的路由器和内部网络上的堡垒主机共同构成防火墙,主要通过数据包过滤实现内外网络的隔离和对内网的保护。下面来个图解释一波: 在被屏蔽主机体系结构中,有两道屏障,一是屏蔽路由器,另外一个是堡垒主机。 屏蔽路由器位于网络的最边缘,负责外网实施连接,并且参外网的路由。屏蔽路由器不提供任何服务,仅提供路由和数据包过滤功能,因此屏蔽路由器本身较为...
计算机网络安全防火墙技术
weixin_33860722的博客
03-02 1644
计算机网络安全是指利用网络管理控制和技术措施,保证在一个网络环境里,信息数据的保密性、完整性和可使用性受到保护。网络安全防护的根本目的,就是防止计算机网络存储、传输的信息被非法使用、破坏和篡改。防火墙技术正是实现上述目的一种常用的计算机网络安全技术。 (一)防火墙的含义 所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种...
CAUC网络安全课程学习笔记实验记录-网络安全基础密码学原理防火墙配置入侵检测系统漏洞分析渗透测试安全协议设计实现网络攻防技术实践信息安全法律法规-为计算机专业.zip
最新发布
08-29
ccsCAUC网络安全课程学习笔记实验记录_网络安全基础密码学原理防火墙配置入侵检测系统漏洞分析渗透测试安全协议设计实现网络攻防技术实践信息安全法律法规_为计算机专业.zipCAUC网络安全课程学习笔记实验...
防火墙
coolen的专栏
10-09 1836
 防火墙的定义  所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使InternetIntranet之间建立起一个安全网关(Security Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,  防火
iptables案例:搭建web服务器的防火墙
麦子地的专栏
11-12 1943
iptables案例:搭建web服务器的防火墙防火墙原理图(硬件版)使用iptables实现防火墙(软件版)配置实战# 放行环回口所有数据 [root@localhost ~]# iptables -A INPUT -i lo -j ACCEPT # 放行22、80端口 [root@localhost ~]# iptables -A INPUT -p tcp -m multiport --dport
防火墙结构和原理
CHEENE
06-22 1124
基本思路 : 只允许发往特定服务器上特定程序的包,其余都屏蔽。 常见实现方式: 包过滤 应用网关 电路层网关 对于包过滤是通过检测报的头部信息来实现的,字段包括: MAC头部的发送方MAC地址; IP头部的发送/接收IP,协议号; TCP/UDP头部 : 发送方/接收方的端口号; TCP 控制位(ACK,SYN,PSH,RST。FIN等) 端口限定应用程序。比如说在服务端仅仅是 80 或者8080 端口的可以进入,其余的都必须屏蔽; 控制位判断连接的方向 举例:如果禁止服务器访..
计算机网络安全教程(第三版)第十章简答题答案
Long_UP的博客
05-31 6763
第 10 章 防火墙入侵检测 什么是防火墙?古时候的防火墙和目前通常说的防火墙有什么联系和区别? 答: 防火墙的本义原指古代人们的房屋之间修建的墙,这道墙可以防止火灾发生时蔓延到别的房屋。现今防火墙不是指为了防火而造的墙,而是指隔离在本地网络外界网络之间的一道防御系统。在互联网上,防火墙是一种非常有效的网络安全系统,通过它可以隔离风险区域(Internet或有一定风险的网络安全区域(局域网)的连接,同时不会妨碍安全区域对风险区域的访问。可见,不管古代和今天的防火墙,在安全意义上都是在防范某种特定的
()洞悉linux下的Netfilter&iptables:状态防火墙
01-23 1206
基于连接跟踪机制的状态防火墙设计实现 连接跟踪本身并没有实现什么具体功能,它为状态防火墙和NAT提供了基础框架。前面几章节我们也看到:从连接跟踪的职责来看,它只是完成了数据包从“个性”到“共性”抽象的约定,即它的核心工作是如何针对不同协议报文而定义一个通用的“连接”的概念出来,具体的实现由不同协议自身根据其报文特殊性的实际情况来提供。那么连接跟踪的主要工作其实可以总结为:入口处,收到一个数据
【吃透网络安全】2023软考网络管理员考点网络安全(五)包过滤等多种防火墙详解
赏樱看雪撸代码
06-24 2852
什么是包过滤防火墙、应用层网关防火墙、状态监测防火墙?包过滤防火墙的概念及定义,包过滤防火墙、应用层网关防火墙的优缺点,软考网络管理员常考知识点,软考网络管理员网络安全网络管理员考点汇总
网络安全笔记防火墙
点滴记录 不断进步
04-24 259
Lesson5 防火墙 u 防火墙可在链路层、网络层、应用层上实现隔离。可以基于物理的,基于逻辑的(防火墙可以用于内部网络不通的安全域之间)。 防火墙是被动防御装置。预先设定策略。 u 防火墙的功能:网络安全的屏障;过滤不安全的服务(内部提供的不安全符合和内部访问外部的不安全服务);隔断特定的网络攻击(联动技术,防火墙其他网络安全设备(如IDS)一起生效,使有些主动性);部署NAT机制;监...
防御保护---防火墙状态检测
zhoutong2323的博客
01-29 1652
FTP(文件传输协议)是一个用于在计算机网络上进行文件传输的协议。它是一种基于客户端-服务器架构的标准协议(C/S架构),用于在计算机之间传输文件。FTP 协议使用两个端口来进行传输:一个用于控制进程(21端口),另一个用于数据连接进程(20端口)。控制连接主要用于发送命令和接收服务器的响应,而数据连接则用于实际的文件传输。主动模式和被动模式。在主动模式下,客户端向服务器发送连接请求,并在数据传输时监听一个随机端口。在被动模式下,服务器会在被请求时打开一个随机的高端口,并将其告知客户端。
状态检测那些事儿
weixin_34268310的博客
10-09 239
专门的状态检测防火墙早已成为历史,现今所有的下一代防火墙都是由状态检测防火墙演变而来,它消失在历史的舞台,它也无处不在,这就是技术的迭代更新。写到这里,让我想起了来一行禅师一位小姑娘的对话。小姑娘问:我有一只可爱的小狗,有一天它死了,怎样才能不伤心?一行禅师回答:你看到天边美丽的云朵,你好喜欢这朵云,就像喜欢你的小狗一样,突然这朵云不见了,你以为云死了,云朵去哪儿了?如果你...
防火墙的基本概念(2)防火墙
MSB_WLAQ的博客
09-27 1487
从某种角度来看,这个架构中的防火墙就像是一个路由器,只是这个路由器可以选择将某些数据包进行过滤,只将过滤后的数据包转发给另一边,如此即可达到保护防火墙后主机的目的。这也就是第一代防火墙的思路,即包过滤。
[网络工程师]-防火墙-防火墙体系
m0_58983558的博客
10-22 4850
介绍了防火墙最常见的三种体系结构
网络知识入门,Web服务器的部署地点,防火墙原理防火墙抵御不了的攻击(十四)
ck784101777的博客
01-14 2033
Web服务器部署的地点 网络包从互联网到达服务器的过程,根据服务器部署地点的不同而不同。最简单的是图(a)中的这种情况,服务器直接部署在公司网络上, 并且可以从互联网直接访问。这种情况下,网络包通过最近的 POP 中的路由器、接入网以及服务器端路由器之后,就直接到达了服务器。其中,路由器的包转发操作,以及接入网和局域网中包的传输过程都和我们之前讲过的内容没有区别。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值