网络安全学习篇25_防火墙
上一篇博客:动态路由协议RIP、v*n
目录
☺防火墙的基本概念
☺防火墙的基本功能
☺防火墙产品及厂家
☺区域隔离
☺防火墙的分类
☺防火墙的工作模式及部署类型
开始
0. 百度百科:
- 所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,它是一种计算机硬件和软件的结合,使Internet与Intranet之间建立起一个安全网关(Security
Gateway),从而保护内部网免受非法用户的侵入,防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成,防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。- 在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
是一款具有安全防护功能的网络设备
1. 隔离网络:
将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护
路由器是隔离网段的设备,连接不同网段,配好IP、路由就可以通信
他们都是三层以上的设备,可以替代路由器,但是他的主要功能是隔离网络,不是路由
2. 防火墙并不一定能防病毒木马
病毒、木马一般工作在第5层,防火墙一般放在公司总出口,作为第一道安全关卡
3. 防火墙的基本功能
访问控制:类似ACL策略
攻击防护:主要是应对3、4层攻击
冗余设计:多台防火墙共同工作
路由、交换
日志记录
虚拟专网v*n
NAT
4. 防火墙产品
功能:
- 入侵检测:DOS,DDOS
DOS:服务拒绝攻击,占用服务器资源,属于3、4层
DDOS:分布式服务拒绝攻击TCP里面的3次握手,握手成功才能通信
连续发送第一个数据包,占满服务
防护原理:
替服务器回应,隔离这种数据包
- 并发连接数、范围
不同应用不同端口会话占用连接,命令行 netstat -an 查看
5. 区域隔离
- 内部区域:内网区域
- DMZ区域:隔离区,也称非军事化、停火区
- 外部区域
一般写单向策略
内网–》外网:放行
内网–》DMZ:放行
DMZ–》外网:放行
所以外网的数据包只能被动地通过防火墙
外网的数据包任意不能进入DMZ,但是某些写策略之后服务器开放的端口,外网就可以通过小缺口访问服务器
然后小缺口可能被一步步渗透为大缺口
因此最好禁止DMZ区域向内网区域写策略
但是
为了安全,可以在开放端口的服务器再放一台防火墙,如web服务器方web应用防火墙:WAF—>主要检查web交互
放在总防火墙和DMZ之间或者内网之间的其他web类防火墙:检测4、5层数据包是否含有病毒、密码、SQL注入关键字
IPS
入侵防御系统IDS
入侵检测系统6. 防火墙的分类
- 软件防火墙
- 硬件防火墙
按技术划分
包过滤防火墙:最早的防火墙技术之一,功能简单,配置复杂
应用网关、代理防火墙:最早的防火墙技术之二,拦截效率低,防火墙维护两个对话,实现隐藏内网,现在基本使用的是透明转发的防火墙
状态检测防火墙:现在主流防火墙、速度快、配置简单(3、4层)
DPI防火墙:高速应用层防火墙,未来发展方向
- 状态检测防火墙工作过程:
数据帧到达防火墙,先看策略看是否允许通过
通过之后,路由到防火墙出口,然后地址转换----》重新封装帧
源IP地址、源端口号、都改变,加上源MAC和访问的目标MAC–》发出去
然后,防火墙记录了此条会话状态
此条会话如果有后续帧,则防火墙一直维持此会话,后续的流量不在状态检测、地址转换
回包需要按照状态匹配才能进入,实现—》有出才有回
- 状态检测防火墙原理图:
- 路由、NAT模式:工作在3层,相当于路由器,连接不同网段,拿防护墙当出口
参考:B站千峰