计算机网络——41防火墙

最新推荐文章于 2024-05-08 19:00:00 发布
最新推荐文章于 2024-05-08 19:00:00 发布
阅读量717 收藏 5
点赞数 19
分类专栏: 计算机网络 文章标签: 计算机网络 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Aubyn11/article/details/137586495
版权

防火墙

将组织内部网络和互联网络隔离开来,按照规则允许某些分组通过(进出),或者阻塞掉某些分组

在这里插入图片描述

为什么需要防火墙

阻止拒绝服务攻击

  • SYN flooding:攻击者建立很多伪造TCP连接,对于真正用户而言已经没有资源留下了

阻止非法的修改/对非授权内容的访问

  • e.g.攻击者替换掉CIA的主页

只允许认证的用户能否访问内部网络资源(经过认证的用户/主机集合)

2种类型的防火墙

  • 网络级别:分组过滤器
    • 有状态,无状态
  • 应用级别:应用程序网关

分组过滤

在这里插入图片描述

  • 内部网络通过配置防火墙的路由器连接到互联网上
  • 路由器对分组逐个过滤,根据以下规则来决定转发还是丢弃
    • 源IP地址,目标IP地址
    • TCP/UDP源和目标端口
    • ICMP报文类别
    • TCP SYN 和 ATK bits
分组过滤 - 无状态

例1:阻塞进出的数据报:只要拥有IP协议字段 = 17,而且 源/目标端口号 = 23

  • 所有的进出UDP流以及telnet连接的数据报都被阻塞掉

例2:阻塞进入内网的TCP段:他的ACK = 0

  • 阻止外部客户端和内部网络的主机建立TCP连接
  • 但允许内部网络的客户端和外部服务器建立TCP连接
无状态分组过滤器:例子
策略防火墙设置
不允许外部的web进行访问阻塞掉所有外出具有目标端口8O的IP分组
不允许来自外面的TCP连接,除非是机构公共Web服务器的连接阻塞掉所有进来的ICP SYN分组,除非130.207.244.203,port = 80
阻止Web无限电占用可用带宽阻塞所有进来的UDP分组,除非DNS和路由器广播
阻止你的网络被smurf Dos所占用阻塞掉所有具有广播地址的ICMP分组(e.g. 130.207.255.255)
阻止内部网络被tracerout,从而得到你的网络拓扑阻塞掉所有外出的ICMP TTL过期的流量
例子:Access Control Lists

ACL:规则的表格,top - bottom应用到输入的分组:(action,condition)对

actionsource addressdest addressprotocolsource portdest portflag bit
allow222.22/16outside of 222.22/16TCP>102380any
allowoutside of 222.22/16222.22/16TCP80>1023ACK
allow222.22/16outside of 222.22/16UDP>102353
allowoutside of 222.22/16222.22/16UDP53>1023
denyallallallallallall
有状态分组过滤
  • 无状态分组过滤根据每个分组独立地检查和行动
  • 有状态的分组过滤联合分组状态表检查和行动
  • ACL增强:在允许分组之前需要检查连接状态表
actionsource addressdest addressprotocolsource portdest portflag bitcheck connection
allow222.22/16outside of 222.22/16TCP>102380any
allowoutside of 222.22/16222.22/16TCP80>1023ACK×
allow222.22/16outside of 222.22/16UDP>102353
allowoutside of 222.22/16222.22/16UDP53>1023×
denyallallallallallall

应用程序网关

  • 根据应用数据的内容来过滤进行的数据报,就像数据IP/TCP/UDP字段来过滤一样
    • 检查的增强:应用层过滤
  • Example:允许内部用户登录到外部服务器,但不是直接登陆
    • 需要所有的telnet用户通过网关来telnet
    • 对于认证的用户而言,网关建立和目标主机的telnet connection,网关在2个连接上进行中继
    • 路由器过滤器对所有不是来自网关的telnet的分组全部过滤掉

在这里插入图片描述

局限性

  • IP spoofing:路由器不知道数据报是否真的来自于声称的原地址
  • 如果有多个应用需要控制,就需要多个应用程序网关
  • 客户端软件需要知道如何连接到这个应用程序
    • e.g. 必须在Web browser中配置网络代理的Ip地址
  • 过滤器对UDP所在的报文,或者全过或者全都不过
  • 折中:与外部通信的自由度,安全的级别
  • 很多高度保护的站点仍然受到攻击的困扰
Aubyn11
关注
  • 19
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析计算机网络安全技术——防火墙.pdf
10-13
浅析计算机网络安全技术——防火墙.pdf
计算机网络——网络抓包实战
庄小焱
11-21 1万+
有很多小伙伴对于网络中的抓包没有很多的实战。同时对网络抓包工具也是不熟悉,本博文将介绍计算机网络中用于抓包的两个常用工具tcpdump和Wireshark,通过使用tcpdump/Wireshark工具来对TCP的三次握手和四次挥手进行抓包实战,给大家学习和使用tcpdump/Wireshark工具作一个参考。............
计算机网络——网络安全
热门推荐
m0_60571990的博客
10-11 3万+
计算机网络——网络安全
计算机网络——计算机网络基础知识
庄小焱
11-17 1352
摘要摘要随着Internet技术的迅速发展,越来越多的计算机连入了Internet。很多公司也将自己公司的局域网接入了Internet。如何快速地访问Internet站点,提高网络的安全性,成为了当今的热门话题。在这种情况下,代理服务器便应运而生了。一、代理服务器代理服务器(Proxy Server)是个人网络和Internet服务商之间的中间代理机构,它负责转发合法的网络信息,对转发进行控制和登记。
计算机网络——域名解析与DNS服务
庄小焱
11-14 2927
本博文主要介绍DNS域名解析与DNS软件相关知识和原理,帮助大家在理解计算机网络中的域名解析服务原理。同时也展示DNS软件bind的配置与实战,供大家参考学习。
计算机网络——TCP协议
申俏雅的博客
01-26 5567
TCP的可靠不在于它是否可以把数据100%传输过去,而是1.发送方发去数据后,可以知道接收方是否收到数据;2.如果接收方没收到,可以有补救手段;
计算机网络——ARP协议地址解析原理
庄小焱
11-16 8196
摘要 地址解析协议,即ARP(Address Resolution Protocol),是根据IP地址获取物理地址的一个TCP/IP协议。主机发送信息时将包含目标IP地址的ARP请求广播到局域网络上的所有主机,并接收返回消息,以此确定目标的物理地址;收到返回消息后将该IP地址和物理地址存入本机ARP缓存中并保留一定时间,下次请求时直接查询ARP缓存以节约资源。地址解析协议是建立在网络中各个主机互相信任的基础上的,局域网络上的主机可以自主发送ARP应答消息,其他主机收到应答报文时不会检测该报文的真实性就会将
网络安全——防火墙详解
W981113的博客
01-16 1万+
什么是防火墙?路由策略和策略路由 在计算机中,防火墙是基于预定安全规则来监视和控制传入和传出网络流量的网络安全系统。该计算机流入流出的所有网络通信均要经过此防火墙防火墙对流经它的网络通信进行扫描,这样能够过滤掉一些攻击,以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信,封锁特洛伊木马。最后,它可以禁止来自特殊站点的访问,从而防止来自不明入侵者的所有通信。 防火墙分为软件防火墙和硬件防火墙,他们的优缺点: **硬件防火墙:**拥有经过特别设计的硬件及芯片,性能高、成
计算机网络课程设计——中小型网络工程设计
Recursions的博客
10-13 2万+
在企业中小型网络,通过子网划分,配置路由器、交换机和防火墙,向内外网提供DNS、WWW、FTP、Email服务完成了网络工程的搭建,画出了网络拓扑图,并进行了调试分析。从以上的调试结果可以看出,设计的网络能做到仅对外提供WWW服务,仅对内提供FTP服务,同时对内外提供Email服务,不同部门之间是不连通的,符合不同部门之间保持通信独立性和隔离性的要求。FTP服务的实现:在FTP服务器中,开启HTTP服务和FTP服务,关闭其余所有服务,在FTP服务器中添加用户和密码,并设置用户权限,最终配置如图1-3。
计算机网络——计算机网络面试问题
庄小焱
04-09 1565
本博文分享计算机网络的面试问题。以下面试问题与解答均来源互联网上,本人对其中问题的解答进行了详细的分析与阐述,帮助大家更好的通过面试。
网络安全——防火墙配置实验
m0_53533553的博客
11-12 6081
(1)要求172.16.10.20可以上网,并且可以访问DMZ区域的FTP和WEB服务 (2)172.16.10.10不能上网,但是能够访问DMZ区域的FTP和WEB服务 (3)内网用户通过NAT(easy-ip)的形式访问互联网。
浅析计算机网络安全技术——防火墙 (1).pdf
10-13
浅析计算机网络安全技术——防火墙 (1).pdf
计算机网络安全管理作业——防火墙技术-PPT课件.ppt
07-30
计算机网络安全管理作业——防火墙技术-PPT课件.ppt
计算机网络安全管理作业——防火墙技术.ppt
12-18
计算机网络安全管理作业——防火墙技术.ppt
万兆以太网MAC设计(11)完整UDP协议栈仿真
m0_56222647的博客
04-28 1655
目前除了巨帧处理逻辑之外,所有的准备工作都已经结束了,先进行整体的功能验证。
黑马 - websocket搭建在线聊天室
白羊座的橙子
05-01 1176
websocket对象创建websocket对象相关事件websocket 对象提供的方法## 2、服务端apiTomcat 的7.0.5版本开始支持 websocket , 并且实现了Java websocket 规范。Java websocket 应用由一系列的 Endpoint组成。Endpoint 是一个java对象,代表websocket连接的一段。对于服务端,我们可以视其为处理具体websocket消息的接口。
2024 怎么从一个小白到一名黑客,自学笔记
最新发布
2401_84466225的博客
05-08 573
想自学网络安全(黑客技术)首先你得了解什么是网络安全!什么是黑客!网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。无论网络、Web、移动、桌面、云等哪个领域,都有攻与防两面性,例如 Web 安全技术,既有 Web 渗透,也有 Web 防御技术(WAF)。作为一个合格的网络安全工程师,应该做到攻守兼备,毕竟知己知彼,才能百战百胜。
深入理解网络原理2----UDP协议
m0_74299308的博客
05-04 532
随着时代的发展,越来越需要计算机之间互相通信,共享软件和数据,即以多个计算机协同⼯作来完成业务,就有了⽹络互连。
题目 1452: 网络寻路
weixin_64443786的博客
05-01 236
蓝桥杯
计算机网络模拟校园,计算机网络实验——模拟校园网设计
05-27
好的,我可以为您解答关于计算机网络模拟校园的问题。您的问题是关于计算机网络实验中如何模拟校园网的设计。 首先,模拟校园网的设计是建立在计算机网络基础之上的。在计算机网络模拟校园的设计中,需要考虑以下几...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值