2024年软考-防火墙技术与原理(1)，大厂Linux运维高级多套面试专题整理集合

教案程序猿

于 2024-05-09 20:56:04 发布

阅读量316

点赞数 3

分类专栏：程序员文章标签：运维 linux 面试

本文链接：https://blog.csdn.net/2401_83620654/article/details/138631412

版权

程序员专栏收录该内容

132 篇文章 1 订阅

订阅专栏

最后的话

最近很多小伙伴找我要Linux学习资料，于是我翻箱倒柜，整理了一些优质资源，涵盖视频、电子书、PPT等共享给大家！

资料预览

给大家整理的视频资料：

给大家整理的电子书资料：

如果本文对你有帮助，欢迎点赞、收藏、转发给朋友，让我有持续创作的动力！

网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。

需要这份系统化的资料的朋友，可以点击这里获取！

一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

本文为作者学习文章，按作者习惯写成，如有错误或需要追加内容请留言（不喜勿喷）

本文为追加文章，后期慢慢追加

by 2023年10月

防火墙概念

根据网络的安全信任程度和需要保护的对象，人为地划分若干安全区域，常见安全区域有:公共外部网络，如Internet;

内联网(Intranet)，如某个公司或组织的专用网络，网络访问限制在组织内部；
外联网(Extranet)，内联网的扩展延伸，常用作组织与合作伙伴之间进行通信；
军事缓冲区域，简称DMZ,该区域是个于内部网络和外部网络之间的网络段，常放置公共服务设备，向外提供信息服务。

在安全区域划分的基础上，通过一种网络安全设备，控制安全区域间的通信，可以隔离有害通信，进而阻断网络攻击。俗称为“防火墙”。

防火墙是一种在计算机网络中起到保护作用的安全措施，其作用是以一定的规则来过滤网络通信，从而阻止网络攻击或不安全流量进入或离开网络。防火墙通常是以硬件、软件、或两者的组合形式存在，它可以设置许多规则，例如限制哪些IP地址可以访问网络，哪些端口可以使用，允许哪些类型的数据传输等。这些规则可以根据特定的需求进行配置，以帮助保护网络不受未经授权的访问或恶意攻击。防火墙在网络安全中扮演着至关重要的角色。

防火墙工作原理

防火墙是由一些软、硬件组合而成的网络访问控制器，它根据一定的安全规则来控制流过防火墙的网络包如禁止或转发，能够屏蔽被保护网络内部的信息、拓扑结构和运行状况，从而起到网络安全屏障的作用。
防火墙的安全策略有两种类型

白名单策略：只允许符合安全规则的包通过防火墙，其他通信包禁止
黑名单策略：禁止与安全规则相冲突的包通过防火墙，其他通信包都允许。

防火墙的功能主要有以下几个方面:

过滤非安全网络访问
限制网络访问
网络访问审计
网络带宽控制
协同防御

防火墙安全风险

采用防火墙安全措施的网络仍然存在以下网络安全风险

网络安全旁路。
防火墙功能缺陷，导致一些网络威胁无法阻断。主要安全缺陷如下

防火墙不能完全防止感染病毒的软件或文件传输。
防火墙不能防止基于数据驱动式的攻击。
防火墙不能完全防止后门攻击。

防火墙安全机制形成单点故障和特权威胁。
防火墙无法有效防范内部威胁。
防火墙效用受限于安全规则。特别是采用黑名单策略的防火墙。

防火墙类型可分为包过滤防火墙、代理防火墙、代防火墙、Web 应用防火墙、:数据库防火墙、工控防火墙。

包过滤

包过滤是在IP 层实现的防火墙技术，包过滤根据包的源IP 地址、目的IP 地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。

包过滤是防火墙的基本功能之一。多数现代的IP 路由软件或设备都支持包过滤功能，并默认转发所有的包。包过滤的控制依据是规则集，典型的过滤规则表示格式由”规则号、匹配条件、匹配操作”三部分组成，一般的包过滤防火墙都用源IP 地址、目的IP 地址、源端口号、目的端口号、协议类型(UDP、TCP、ICMP)、通信方向、规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计三种。

思科访问控制

Cisco lOS 有两种访问规则形式，即标准IP 访问表和扩展IP 访问表，它们的区别主要是访问控制的条件不一样。标准IP 访问表只是根据IP 包的源地址进行，扩展IP 访问表同时匹配源地址和目的地址BW标准IP访问控制规则的格式如下

access-list list-numberfdeny I permit ) source[source-wildcard] [logl扩展IP 访问控制规则的格式是
access-list list-number(deny permit)protocol
source source-wildcard source-qualifiersdestination destination-wildcard destination-qualifiers[log log-input ]标准IP访问控制规则的list-number 规定为1-99,扩展IP 访问控制规则的list-number 规定为100~199；

deny 表示若经过Cisco lOs 过滤器的包条件不配，则禁止该包通过
permit 表示若经过Cisco los 过滤器的包条件匹配，则允许该包通过

source 表示来源的IP 地址
source-wildcard 表示发送数据包的主机IP 地址的通配符掩码，其中1代表“忽略”0代表需要匹配”any 代表任何来源的IP 包，host表示单个地址；

包过滤防火墙技术的优点:低负载、高通过率、对用户透明。
包过滤技术的弱点:不能在用户级别进行过滤，如不能识别不同的用户和防止IP 地址的盗用。如果攻击者把自己主机的IP 地址设成一个合法主机的IP 地址，就可以轻易通过包过滤器。

状态检测防火墙

状态检测防火墙是一种对网络流量进行检测的网络安全设备。它通过检测网络流量中的数据包内容和传输状态来判断是否允许数据包通过。

状态检测防火墙可以根据已知的网络协议和端口号来判断数据包的目的地和来源，同时还可以对数据包的传输状态进行判断，如连接的状态和数据包的大小等。

与传统的静态防火墙相比，状态检测防火墙具有更高的灵活性和可配置性。它可以识别和处理复杂的网络流量，同时也可以对新的网络攻击进行检测和防御

状态防火墙的处理包流程

状态防火墙的处理包流程通常分为以下几个步骤：

1.数据包的接收：防火墙首先会接收到网络数据包，然后根据配置规则对数据包进行进一步处理。

2.数据包的解析：防火墙会对数据包进行深度解析，包括协议类型、端口号、传输状态等方面的信息，并将其转换为相应的数据包格式。

3.状态检测：防火墙会对数据包的传输状态进行检测，如是否已经建立连接、是否是已知连接等等。如果数据包的状态符合预设规则，则防火墙会继续对数据包进行处理；如果不符合，防火墙将丢弃此数据包。

4.流量匹配：防火墙会根据配置规则对数据包进行流量匹配，看是否符合流量控制、安全策略等相关规定。如果符合，防火墙将允许数据包通过，并将其转发到下一节点；否则，防火墙将阻止数据包的进一步传输。

5.日志记录：防火墙会对所有数据包进行日志记录，包括源地址、目的地址、协议类型、端口号、传输状态等相关信息，这些信息有利于网络管理员进行网络故障排查和安全管理。

总之，状态防火墙是一种高效的网络安全设备，它可以对网络流量进行深入的检测，提高网络的安全性和可靠性。

应用服务代理

应用服务代理防火墙是一种特殊的防火墙设备，它主要用于保护应用服务的安全。与传统的网络防火墙不同，应用服务代理防火墙能够识别更多的应用层协议，包括HTTP、SMTP、FTP等，能够对应用层数据进行深入的检测和过滤。

应用服务代理防火墙和传统防火墙相比，具有以下优点：

1.更加精细的控制：应用服务代理防火墙能够识别不同的应用层协议，可以对不同的应用进行精细的控制和管理，从而提高了防火墙的安全性。

2.更加灵活的配置：应用服务代理防火墙可以根据不同的应用服务进行灵活的配置，可以对不同的应用服务进行不同的过滤规则，以便更好地保护应用服务的安全。

3.更加准确的检测：应用服务代理防火墙可以对应用层数据进行深入的检测，可以检测应用服务中的漏洞和安全缺陷，从而提高了防火墙的检测准确性。

应用服务代理防火墙与传统防火墙相比，虽然具有更加精细的控制和更加灵活的配置，但是也存在一些局限性，如处理速度较慢、不适用于大规模网络等情况。因此，在实际应用中需要根据具体情况进行选择。

网络地址转换技术

NAT是Network Address Translation 的英文缩写，即“网络地址转换”。NAT 技术主要是为了解决公开地址不足而出现的，它可以缓解少量因特网IP 地址和大量主机之间的矛盾。同时NAT可以提高了内部网络的安全性。
实现网络地址转换的方式主要有:

静态NAT(StaticNAT)：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址
NAT 池(pooledNAT)：在外部网络中配置合法地址集，采用动态分配的方法映射到内部网络。
端口NAT(PAT)：把内部地址映射到外部网络的一个IP 地址的不同端口上。

WEB防火墙技术

Web 应用防火墙是一种用于保护Web 服务器和Web 应用的网络安全机制。
Web 应用防火墙的HTTP 过滤的常见功能主要有允许 /禁止HTTP 请求类型、HTTP 协议头各个字段的长度限制.后缀名过滤、URL内容关键字过滤、Web 服务器返回内容过滤。
Web 应用防火墙可抵御的典型攻击主要是SQL 注入攻击、XSS 跨站脚本攻击、Web 应用扫描、Webshell.Cookie注入攻击、CSRF 攻击等。目前，开源Web 应用防火墙有ModSecurity、WebKlight、ShadowDaemon 等。

数据库防火墙

数据库防火墙是一种用于保护数据库服务器的网络安全机制。其技术原理主要是基于数据通信协议深度分析和虚拟补丁，根据安全规则对数据库访问操作及通信进行安全访问控制，防止数据库系统受到攻击威胁。
虚拟补丁技术通过在数据库外部创建一个安全屏障层，监控所有数据库活动，进而阻止可疑会话、操作程序或隔离用户，防止数据库漏洞被利用，从而不用打数据库厂商的补丁，也不需要停止服务，可以保护数据库安全。

工控防火墙技术

工控防火墙是一种用于保护工业设备及系统的网络安全机制。侧重于分析工控协议，主要包括Modbus TCP 协议EC 61850 协议、OPC 协议、Ethernet/IP 协议和DNP3 协议等。同时，工控防火墙要适应工业现场的恶劣环境及实时性高的工控操作要求。

下一代防火墙技术

下一代防火墙具有应用识别和控制、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统安全策略部署、智能化安全管理等新功能。如 :(1)应用识别和管控。(2)入侵防护IPS)。(3)数据防泄露。(4)恶意代码防护。(5)URL 分类与过滤。 (6) 带宽管理与QoS 优化。(7) 加密通信分析
防火墙共性关键技术:(1)深度包检测(2)操作系统(3)网络协议分析

防火墙主要产品

防火墙主要产品包括以下几种：

最全的Linux教程，Linux从入门到精通

======================

linux从入门到精通(第2版)
Linux系统移植
Linux驱动开发入门与实战
LINUX 系统移植第2版
Linux开源网络全栈详解从DPDK到OpenFlow

华为18级工程师呕心沥血撰写3000页Linux学习笔记教程

第一份《Linux从入门到精通》466页

====================

内容简介

====

本书是获得了很多读者好评的Linux经典畅销书**《Linux从入门到精通》的第2版**。本书第1版出版后曾经多次印刷，并被51CTO读书频道评为“最受读者喜爱的原创IT技术图书奖”。本书第﹖版以最新的Ubuntu 12.04为版本，循序渐进地向读者介绍了Linux 的基础应用、系统管理、网络应用、娱乐和办公、程序开发、服务器配置、系统安全等。本书附带1张光盘，内容为本书配套多媒体教学视频。另外,本书还为读者提供了大量的Linux学习资料和Ubuntu安装镜像文件，供读者免费下载。

华为18级工程师呕心沥血撰写3000页Linux学习笔记教程