本帖最后由 goodluck 于 2022-8-25 11:39 编辑
阅读福利:网工必备60G资料包,回帖即可领取下载链接啦!
01 什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。
在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
通过过滤不安全的服务,防火墙可以极大地提高网络安全和减少子网中主机的风险。
02 防火墙分类及原理
软件防火墙及硬件防火墙中还有的其他功能,例如CF(内容过滤)IDS(入侵侦测)IPS(入侵防护)以及VPN等等的功能。
也就是说硬件防火墙是指把防火墙程序做到芯片里面,由硬件执行这些功能,能减少CPU的负担,使路由更稳定。
硬件防火墙是保障内部网络安全的一道重要屏障。
它的安全和稳定,直接关系到整个内部网络的安全。
因此,日常例行的检查对于保证硬件防火墙的安全是非常重要的。
系统中存在的很多隐患和故障在暴发前都会出现这样或那样的苗头,例行检查的任务就是要发现这些安全隐患,并尽可能将问题定位,方便问题的解决。
(1)包过滤防火墙
包过滤防火墙一般在路由器上实现,用以过滤用户定义的内容,如IP地址。
包过滤防火墙的工作原理是:系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。
但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。
(2)应用网关防火墙
应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
然而,应用网关防火墙是通过打破客户机/服务器模式实现的。
每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。
另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。
所以,应用网关防火墙具有可伸缩性差的缺点。
(3)状态检测防火墙
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。
这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。
可以这样说,状态检测包过滤防火墙规范了网络层和传输层行为,而应用代理型防火墙则是规范了特定的应用协议上的行为。
(4)复合型防火墙
复合型防火墙是指综合了状态检测与透明代理的新一代的防火墙,进一步基于ASIC 架构,把防病毒、内容过滤整合到防火墙里,其中还包括VPN、IDS功能,多单元融为一体,是一种新突破。
常规的防火墙并不能防止隐蔽在网络流量里的攻击,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路。
它在网络边界实施OSI 第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。
03 关于防火墙的一些术语
网关
在两个设备之间提供转发服务的系统。网关是互联网应用程序在两台主机之间处理流量的防火墙。
DMZ非军事化区
为了配置管理方便,内部网中需要向外提供服务的服务器往往放在一个单独的网段,这个网段便是非军事化区。
防火墙一般配备三块网卡,在配置时一般分别分别连接内部网,Internet和DMZ。
吞吐量
网络中的数据是由一个个数据包组成,防火墙对每个数据包的处理要耗费资源。
吞吐量是指在不丢包的情况下单位时间内通过防火墙的数据包数量。这是测量防火墙性能的重要指标。
最大连接数
和吞吐量一样,数字越大越好。
但是最大连接数更贴近实际网络情况,网络中大多数连接是指所建立的一个虚拟通道。
防火墙对每个连接的处理也好耗费资源,因此最大连接数成为考验防火墙这方面能力的指标。
数据包转发率
是指在所有安全规则配置正确的情况下,防火墙对数据流量的处理速度。
SSL
SSL(Secure Sockets Layer)是由 Netscape 公司开发的一套Internet 数据安全协议。
它已被广泛地用于Web浏览器与服务器之间的身份认证和加密数据传输SSL协议位于TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。
网络地址转换
网络地址转换(NAT)是一种将一个IP地址域映射到另一个IP 地址域技术,从而为终端主机提供透明路由。
NAT包括静态网络地址转换、动态网络地址转换、网络地址及端口转换、动态网络地址及端口转换、端口映射等。
NAT常用于私有地址域与公用地址域的转换以解决IP地址匮乏。
—————————————————————————————————— 如果你也有以下想法:
1. 有需要思科/华为考证报班,0基础和大佬一起系统学习 2. 想要进入全国网工交流群,和更多同伴连接 3. 对网工生涯迷茫,想要有大佬可以指点迷津~
| 
简体中文
英语
日语
韩语
法语
西班牙语
越南语
泰语
阿拉伯语
俄语
葡萄牙语
德语
意大利语
希腊语
荷兰语
波兰语
保加利亚语
爱沙尼亚语
丹麦语
芬兰语
捷克语
罗马尼亚语
斯洛文尼亚语
瑞典语
匈牙利语
繁体中文
文言文
发表于 2022-8-9 10:57:55
置顶卡
喧嚣卡
变色卡
千斤顶
发表于 2022-8-9 11:27:17
