网络防火墙是一种网络安全设备,用于控制不同安全区域间的通信。它根据预定义的安全规则过滤网络包,防止未经授权的访问。防火墙类型包括包过滤、应用网关和状态监测,每种都有其优缺点。例如,包过滤防火墙基于规则集工作,具有低负载和高通过率,但无法在用户级别过滤。应用网关防火墙提供更高级别的安全性,而状态监测防火墙则利用会话状态信息进行控制。防火墙结构有双宿主主机、代理型和屏蔽子网等,每种结构都有其特定的安全策略和应用场景。
1.概述
def: 在安全区域划分的基础上,通过一种网络安全设备,控制安全区域间的通信,安装在不同的安全区域边界处,由软件和硬件组成的网络访问控制器,依据一定的安全规则来控制流过防火墙的网络包。
以网络的安全信任程度和需要保护的对象,人为的划分区域。包括:
公共外部网络: 如因特网
内联网: 各公司或组织内部网络
外联网: 内联网的扩展延伸
军事缓冲区域: 简称DMZ,该区域介于内部网与外部网之间的网络段,常放置公共服务设备。
防火墙的安全策略
白名单策略:
黑名单策略:
防火墙类型
❤包过滤防火墙:
实现:应用在IP层,对数据包的源IP、目的IP、源端口、目的端口以及包传递方向等包信息进行判断是否通过。
依据:规则集,典型过滤规则:“规则号”,“匹配条件”,“匹配操作”
优点:低负载、高通过率、对用户透明。
缺点:不能在用户级别进行过滤
❤应用网关防火墙:
❤状态监测防火墙:
实现: 利用TCP对话和UDP“伪”会话的状态信息进行网络控制访问机制。
流程:
防火墙实现技术
❤NAT(网络地址转换技术):主要是为了解决公开地址不足而出现的。实现网络地址转换的方式:
❤web防火墙技术:基于web服务器和web应用的网络安全机制,
防御体系结构类型
❤基于双宿主主机防火墙结构:
是最基本的防火墙结构,实质上是至少具有两个网络接口卡的主机系统。将内外网络分别连接在不同的网卡上,使内外网不能直接通信。
❤基于代理型防火墙结构:
一台主机与外部网络连接,该主机代理内部网络与外部网络的通信。代理型结构还通过路由器过滤。代理主机位于内部网络
缺点:若代理主机被攻破则内部网络与代理主机之间无障碍,攻击者便可进入内部网络进行监听。
❤基于屏蔽子网的防火墙结构:
特点:
包过滤路由器A的作用是过滤外部网络对被屏蔽子网的访问。
包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。
所有外部网络经由被屏蔽子网对内网络的访问,都必须经过应用代理服务器的检查和认证。
防火墙技术应用
扫一扫
500
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
