安全防御------防火墙

已于 2023-07-29 18:02:39 修改
阅读量1.5k 收藏 10
点赞数
分类专栏: 安全防御 文章标签: 网络 服务器 运维
于 2023-07-23 15:32:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_63292411/article/details/131879645
版权

目录

一、 防火墙概念与分类

二、防火强的技术类型

三、防火墙的接口模式

四、防火墙的安全区域

1.Trust区域

2.DMZ区域

3.Untrust区域

4.Local区域

 安全区域的受信任程度与优先级 ​

五、 安全策略  

六、 状态检查详解 

1.状态检测机制

 2.会话机制

3.会话表项中的五元组信息 

七、 FTP协议

1.不同的传输模式

2.工作方式

3.ASPF技术

4.Server-map表与会话表的关系​

八、端口识别 

一、 防火墙概念与分类

路由器与交换机的本质是转发,防火墙的本质是控制和防护。
防火墙这一具体设备,通常用于两个网络之间的隔离 。那么,用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等。

分类

软件型防火墙
个人防火墙
个人防火墙运行于个人计算机上,用于监控个人计算机与外部网络之间的通信信息
Windows 操作系统中集成了 Windows 防火墙。一般拥有杀毒软件产品的厂商会以综合安全软件套件的
个人防火墙
网关型防火墙
在计算机网络的网关中设置类似防火墙设备的功能,从而对网络中通信流量进行策略控制,这种类型的防火墙即为网关型防火墙。
网关型防火墙分为两类,一类是在 Windows Linux 等通用操作系统上安装并运行 FireWall-1 软件的软件型网关防火墙,一类是使用专用设备的硬件型网关防火墙。
个人防火墙主要监控所有到达个人计算机的通信流量,而网关型防火墙则需要监控来自多数不特定终端设备的通信流量,并在它们通过网关时实施策略控制。
硬件型防火墙
硬件型防火墙是指通过硬件设备实现的防火墙,外形同路由器形状类似,但网络接口类型一般只支持以太网。

二、防火强的技术类型

 代理服务器

代理服务器是应用网关型防火墙的一种。
什么是代理
例如, HTTP 代理对应的网关在从用户 ( 客户端 ) 处收到 HTTP 通信请求后,自身将代替客户端 HTTP服务器发送HTTP通信请求。从客户端的角度来看,网关即其通信终端。由此,在客户端与网关,网关与HTTP服务器之间分别生成两个会话如果像这样网关成为客户端的代理,由代理和真正的服务器之间进行通信的话,就会实现以下情况。

由于网关是会话的起点,因此可以对互联网上的外部服务器隐藏客户端的IP地址。 

三、防火墙的接口模式

四、防火墙的安全区域

在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为 可信任的 ,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“ 策略
最低0.47元/天 解锁文章
防火墙基础知识总结
qq_47175413的博客
07-23 1838
防火墙默认的设计原则一般是没有明确允许的流量默认都会被禁止,这样能够确保防火墙一旦接入网络就能保护网络的安全。安全策略是由匹配条件(五元组、用户、时间段等)和动作组成的控制规则,防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,并将流量的属性与安全策略的匹配条件进行匹配。状态检测防火墙使用基于连接状态的检测机制,将通信双方之间交互的属于同一连接的所有报文都作为整个数据流来对待。在状态检测防火墙看来,同一个数据流内的报文不再是孤立的个体,而是存在联系的。,它们之间的通信不受防火墙的干涉。
防火墙技术
jc1112323的博客
10-08 380
防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离,隔离“火”的蔓延,“火”则指的是网络中的各种攻击。
防火墙-ServerMap
shengnan970116的博客
12-19 993
ServerMapServerMap表的生命周期取决于其生成方式和网络设备的配置。静态配置的ServerMap表条目通常是永久性的,而动态生成的ServerMap表条目通常会在会话结束或超时后被删除。超时机制是大多数NAT设备和负载均衡器用来管理ServerMap表条目生命周期的常用方法。ServerMap表主要用于NAT转换,实现内外网之间的地址映射,支持内部网络对外部网络的服务请求。防火墙会话表则侧重于安全控制,通过记录和监控网络连接的状态,实现对数据流的精细控制和保护。
防火墙详解(USG6000V)
Thewei666的博客
07-08 5152
例:HTTP协议中如果你发送了一个request请求,那么后续回来一定是response;TCP协议中发送的第一个数据包是SYN,则后续的数据包为ACK+SYN,光是一个ACK或SYN都是不符合定义的后续报文要求会话表技术:提高转发效率的关键,其主要是采用老化机制。
防火墙安全策略(基本配置)
最新发布
m0_74825003的博客
02-23 5096
凡是由设备构造并主动发出的报文均可认为是从Local区域中发出,凡是需要设备响应并处理(而不仅是检测或直接转发)的报文均可认为是由local区域接收。此时,即使配置了接口所在安全域允许访问local区域的安全策略,也不能通过该接口访问本地防火墙。缺省安全策略位于策略列表的最底部,优先级最低,所有匹配条件均为any,动作默认为禁止。所以服务器回包时候,会直接查询会话表,实现通信,所以防火墙只需要放行一边就行,流量能出去能建立会话,流量就可以按照会话回来。id表示安全区域ID,取值4~99,默认递增。
[eNSP]华为防火墙基础——Local、DMZ、Trust、Untrust互联
m0_64218141的博客
03-07 4939
理解并学会配置防火墙local、trust、untrust、dmz四种区域的连通。
防火墙技术之安全区域
大河之犬的博客
09-12 1万+
我们在接口GE0/0/1下创建两个子接口GE0/0/1.10和GE0/0/1.20,分别对应VLAN 10和VLAN 20,然后将这两个子接口划分到不同的安全区域,而接口GE0/0/1不用加入安全区域,即可实现将PC A和PC B划分到不同安全区域的目的。安全区域的配置主要包括创建安全区域以及将接口加入安全区域,下面给出了创建一个新的安全区域test,然后将接口GE0/0/1加入该安全区域的过程。源安全区域很容易确定,防火墙从哪个接口接收到报文,该接口所属的安全区域就是报文的源安全区域
网路安全-防火墙安全区域简介
weixin_57370131的博客
08-20 1906
安全区域、安全区域分类、安全区域级别、安全区域的作用、安全区域流动方向、实战、自定义安全区域
浅谈防火墙五个域,三种模式
热门推荐
洞若观火
10-11 4万+
五个域: untrust(不信任域) dmz(隔离区) trust(信任域) local(本地)| management(管理) 报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。untrust(不信任域): 低级安全区域,安全优先级为5 通常用来定义Internet等不安全的网络,用于...
Linux运维-53-Linux云计算-安全防御 - 防火墙顺序.mp4
06-01
Linux运维-53-Linux云计算-安全防御 - 防火墙顺序.mp4
Linux运维-50-Linux云计算-安全防御 - 何为防火墙.mp4
06-01
Linux运维-50-Linux云计算-安全防御 - 何为防火墙.mp4
网络安全----防御----防火墙安全策略组网
NBbabay的博客
07-10 623
4,办公区分为市场部和研发部,研发部IP地址固定,访问DMZ区使用匿名认证,市场部需要用户绑定Ip地址,访问DMZ区使用免认证, 游客区人员不固定,不允许访问DMZ区和生产区,统一使用Guest用户登录,密码Admin@123,游客仅有访问公司门户网站和上网的权限,门户网址地址10.0.3.10。5生产区访问DMZ区时,需要进行protal认证,设立生产区用户组织结构,至少包含三个部门,每个部门三个用户,统一密码openlab123,首次登录需要修改密码,用户过期时间设定为10天,用户不允许多人使用。
网络安全----防御----防火墙nat以及智能选路
NBbabay的博客
07-13 590
9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。9,多出口环境基于带宽比例进行选路,但是,办公区中10.0.2.10该设备只能通过电信的链路访问互联网。10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;10,分公司内部的客户端可以通过域名访问到内部的服务器,公网设备也可以通过域名访问到分公司内部服务器;8,分公司设备可以通过总公司的移动链路和电信链路访问到Dmz区的http服务器
防火墙基础知识
爱意随风起,人生不可弃。
10-18 1万+
攻击模式:先ping服务器的在线ip,再扫描端口。通信双方一定会交互报文,即安全区域的两个方向上都有报文的传输,通过设置安全区域防火墙的安全区域之间有等级明确的域间关系,不同的安全区域代表不同网络防火墙成为连接各个网络的节点,以此为基础,防火墙可以对各网络之间流动的报文实施管控。安全区域防火墙的重要概念,简称:区域(zone),安全区域是一个或多个接口的集合,是防火墙区别路由器的主要特性,防火墙通过安全区域来划分网络,标识报文流动的“路线”,一般来说,当报文在不同的安全区域流动时,才会受到控制。
H3C的防火墙一配置举例
weixin_33940102的博客
09-13 1519
H3C的防火墙必须把接口加到域里面去 # 配置接口Ethernet 0/0/0 加入防火墙Trust 域。 [H3C] firewall zone trust [H3C-zone-trust] add interface Ethernet 0/0/0 H3C 防火墙的域(zone) 区域(zone)是防火墙产品所引入的一个安全概念,是防火墙产品区别于路由器的主要特征...
防火墙安全配置
Ideone的博客
03-18 3050
此时用PC1 ping PC 2,即使两台PC是同一网段,依旧是无法ping通,原因也是在防火墙上存在一条安全策略默认拒绝所有,所以我们需要编写一条安全策略来实现trust区域与untrust区域的通信,由于此时我们使用的是二层协议,所以我们需要添加VLAN ID。路由器ping防火墙,即使路由器与防火墙为直连,但是依旧是无法ping通的,原因是在配置防火墙时,没有启用访问管理,设置启动访问管理,并选择放通ping流量即可ping通。NGFW能对七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
防火墙——防火墙基础知识
m0_49864110的博客
06-01 6938
FW通过状态检测功能来对报文的链路状态进行合法性检查,丢弃链路状态不合法的报文。回来的报文不需要额外的策略(通过会话表控制)状态检测为通过的首包建立会话表,当收到回应的包时会先去匹配会话表,不会再去对后续包一一控制了(即只需要做单向控制)安全策略是FW的核心特性,通过对FW的数据流进行检验,只有符合安全策略的合法流量才可以通过FW进行转发。防火墙将不同信任度的网络通过安全区域来进行划分,并且大部分的安全策略都是通过安全区域进行实施的。当配置了多条安全策略时,按照排列的顺序进行匹配,顺序越高,优先级越高。
安全防御——二、ENSP防火墙实验学习
钟言的博客
11-04 1万+
本篇为安全防御——二、防火墙的基本概念以及配置,Web界面的配置,使用,详细内容包含了:防火墙接口以及模式配置 1、untrust区域 2、trust区域 3、DMZ区域 4、接口对演示 防火墙的策略 1、定义与原理 2、防火墙策略配置 2.1 安全策略工作流程 2.2 查询和创建会话3.实验策略配置 3.1 trust-to-untrust 3.2 trust-to-dmz 3.3 untrust-to-dmz 、防火墙区域等等
华为防火墙安全策略
weixin_49209272的博客
12-11 9645
1初识安全策略 小伙伴们,我们试想下如果防火墙把所有流量都拒绝了,内部用户将无法畅游网络,外部合法用户将无法访问内部资源。因此我们需要配置防火墙的一个特性,让它更好的实现防火墙的功能,这个特性就是安全策略。平时我们上班乘坐地铁,出差乘坐高铁或飞机,在这三个场所中都会有蓝色的标志“Security Check”,旁边站着一个工作人员“安检员”。他的作用就是检查乘客随身携带的物品是否安全,如安全放行通过,如不安全,拒绝通过。回顾下防火墙的作用是保护特定的网络免受“不信任”的网络的攻击和入侵,但还要允许网..
神州数码DCFW-1800防火墙详细使用指南
1. **防火墙概述**:这部分提供了DCFW-1800系列防火墙的基础信息,如产品特性、主要功能以及在网络安全环境中的角色。 2. **产品安装与配置**:详细介绍了如何正确安装防火墙设备,以及设置基本网络参数和安全策略...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值