设备安全:防火墙总结(1)

已于 2022-09-10 17:41:18 修改
阅读量2.5k 收藏 5
点赞数 1
文章标签: 安全 网络 网络协议
于 2022-09-10 15:54:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Miracle_ze/article/details/126795921
版权

防火墙

1、防火墙的定义

  1. 路由交换总归到底是连通性设备【交换机同一个网络同,路由器不同网络通】
  2. 防火墙设备是为了隔绝网络的访问
  3. 早起网络在没有防火墙时期是联通的,any to any

防火墙是一种隔离(非授权用户)并过滤(对受保护网络有害流量或者数据包)的设备【在网络联通基础之上】

在路由交换的基础之上,还有隔离过滤的功能

  • 授权用户,无需防御
  • 非授权用户,隔离

如同一面墙的作用,隔离非授权用户,根据规则放行

在没有防火墙之前,防御方法:使用路由器作为防火墙,包过滤防火墙(访问控制列表ACL)

2、防火墙的区域划分

  • 按照等级划分

Untrust(非受信区)、Local(本地区)、DMZ(非军事化区)、Trust(受信区)

3、 防火墙的类型

3.1 包过滤防火墙

包过滤防火墙:使用ACL访问控制列表技术【三层技术】
包过滤防火墙:主要检查五元组,缺陷,指定端口只能指定单向的端口,会将回包也阻断,颗粒度粗,管理越严,ACL越多

3.1.1 单使用ACL的特点

● 简单、速度快
● 检查的颗粒度粗

ACL与NAT联用是绝配
ACL+NAT:NAT表必须要出内网再回来才能生成,否则不予放行
绝配原因:因为nat的源地址转换功能

nat的源地址转换功能:
只有出去才能回来,出去才会有那个表记录。外面进来是没有表记录无法转换进入私(内)网

3.2 代理防火墙

代理使用socket实现,socket介于7-4层之间,完成对数据从7层到4层的封装和传递,且不同的应用需要使用不同的代理技术

代理防火墙(包过滤防火墙+代理):可以做出只针对一台设备的细颗粒度ACL,降低包过滤防火墙的检查颗粒度,只能针对具体应用(因为代理技术的限制)
注意:代理防火墙区域之间通信因为使用固定设备,而通用设备只管应用不管流量

3.2.1 代理:中间人技术

代理防火墙:使用中间人技术【应用层,七层技术】

1、代理的中间人技术,只让这一台设备进行区域间通信,区域内所有设备需要和区域外进行通信,都需要这台设备作为中间人,代理技术需要在七层(应用层)上进行
2、代理技术只能针对特定的应用来实现,应用间不能通用

称为七层技术是因为在设置代理时我们平时在浏览器上设置代理,而浏览器为应用及是应用层设备为此我们不难理解代理防火墙技术七层技术。

3.2.2 特点

○ 缺点:技术复杂,速度慢
○ 优点:能防御应用层威胁,内容威胁

3.3 状态防火墙

状态防火墙三层、四层防火墙使用会话追踪技术(追踪TCP的状态),某个状态下收到的回包应该是确认的包,而不是任意的包,根据当前TCP状态检测收到的包是否是正确的包。

3.3.1 实现方式

状态防火墙除了可以使用软件(iptables等)实现,还可以使用硬件实现(hash算法),在包过滤(ACL)的基础上新增了一个会话表&

最低0.47元/天 解锁文章
Miracle_ze
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
防火墙ftp模式 ASPF 3.21
kanxingxingdemao的博客
01-30 433
ASPF 解决多通道协议通过防火墙的方法 防火墙 防火墙命令 查看防火墙会话的 查看server-map nat 产生的server map 表不能让数据通过防火墙转发,能不能转发看策略,其他俩个直接就可以转发,不用看策略。 当ftp端口改变后,不是原来的21端口时,需要端口识别技术 当f’t’p端口不是21时比如是31,防火墙放行了31,客户发起ftp 时,控制链路可以正常建立,但是因为ASPF识别的是ftp21 不识别31所以无法创建service map ,所以无法建立数据.
防火墙技术之--状态防火墙ASPF(2)
weixin_33720078的博客
08-22 468
应用状态防火墙功能介绍 前面介绍了ASPF的基本原理,跟踪协议状态机以实现对应用层状态的动态监控,所以状态防火墙被称为动态防火墙。动态就在于状态机是动态变化的,这样的处理使得对数据的过滤更加周全,更加深入。本文想细致区分状态防火墙的功能,以期能更深入的了解状态防火墙技术。 综合来说ASPF可以具有如下几个方面的功能: 支持应用层协议检测,包括:FTP,HTT...
防火墙ASPF技术、NAT、接口模式、双机热备
weixin_57507186的博客
04-14 682
(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。通 过旁观设备的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务,功能是最少的。
防火墙技术之---状态防火墙ASPF(3)
weixin_33923148的博客
08-23 603
状态防火墙ASPF工作原理 一般来说跟其他安全业务一样,ASPF也是基于会话管理模块的,我们知道会话session是动态的,所以ASPF也是动态的,有状态跟踪的,另外ASPF的精髓还在于出报文打开一个安全的通道,返回报文在这个安全的通道中传输,而维护这个安全通道的依然是访问控制列表ACL,当然这儿的A...
aspf
no pay no gay
10-01 7291
aspf(application specific packet filter)是针对应用层的包过滤,即基于状态的报文过滤。它和普通的静态防火墙协同工作,以便于实施内部网络安全策略。aspf能够检测试图通过防火墙的应用层协议会话信息,阻止不符合规则的数据报文穿过。 为保护网络安全,基于acl规则的包过滤可以在网络层和传输层检测数据包,防止非法入侵。aspf能够检测应用层协议的信息,并对应用的流
防火墙ASPF技术及NAT
weixin_57949883的博客
03-20 310
利用ASPF技术抓取多通道协议的控制报文,并找到传输进程所需的详细网络参数,再根据ASPF分析控制进程的特殊报文,找到传输进程的报文参数,动态生成server-map表,放行传输进程报文。传输进程匹配server-map表后生成会话表,传输进程的后续报文匹配会话表进行传输。
安全防御 --- 防火墙-- ASPF、NAT
weixin_62443409的博客
03-29 1288
主机之间传输文件是IP网络的一个重要功能,如今人们可以方便地使用网页、邮箱进行文件传输。然而在互联网早期,Web(World Wide Web,万维网)还未出现,操作系统使用命令行的时代,用户使用命令行工具进行文件传输。其中最通用的方式就是使用FTP(File Transfer Protocol,文件传输协议)以及TFTP(Trivial File Transfer Protocol,简单文件传输协议)。
第二天防火墙:ASPF 和 NAT实验
weixin_62870380的博客
03-21 342
防火墙的ASPF策略防火墙的NAT各种策略防火墙的端口映射配置实验。
2023-03-24 网工进阶(四十)华为防火墙技术---概述、基本概念(安全区域、安全策略、会话表)、ASPF、虚拟系统
x629242的博客
04-02 6679
在通信领域,防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵,通常被应用于网络边界,例如企业互联网出口、企业内部业务边界、数据中心边界等。防火墙根据设备形态分为,框式防火墙、盒式防火墙和软件防火墙,支持在云上云下灵活部署。防火墙的转发流程比路由器复杂。以框式设备为例,硬件上除了接口、LPU(Line Processing Unit)、交换网板等外,防火墙还特有,用于实现防火墙安全功能。
应用级防火墙WAF解析
whoim_i的博客
04-04 2129
目录前言WAF是什么WAF的功能WAF的工作原理WAF的部署模式WAF的测试WAF的局限         ~~~~~~~~        因为想要面对一个新的开始,一个人必须有梦想、有希望、有对未来的憧憬。如果没有这些,就不叫新的开始,而...
WAF 常见部署模式
最新发布
m0_63660506的博客
07-04 1744
WAF 即 Web 应用防火墙(Web Application Firewall)的简称,其作用是通过一系列安全策略来为 Web 应用提供安全防护。WAF 专门针对 Web 应用而设计,能够有效地防止诸如 SQL 注入、XSS 攻击等常见 Web 攻击。WAF 常见的产品形态有三种模式:软件 WAF、硬件 WAF、云 WAF。其中硬件 WAF 是最传统常规的产品形态,本文内容也重点涉及硬件 WAF
阿里云应用防火墙WAF部署和使用
qq_51503664的博客
10-26 5910
阿里云应用防火墙WAF部署和使用 本文将指导您快速部署和使用阿里云Web应用防火墙WAF 步骤1:购买WAF实例 1、登录Web应用防火墙控制台。 2、在欢迎使用Web应用防火墙页面,单击购买包年包月或者开通按量付费,前往产品购买页面。 步骤2:网站接入 网站接入指将需要防护的网站域名接入WAF实例,并修改网站域名的DNS解析到WAF,使访问网站的流量经过WAF,并受到WAF的防护。 说明 请确保在执行网站接入前,您已完成Web应用防火墙访问其他云资源的授权。具体操作,请参见授权WAF访问云资源。1、
华为防火墙基本配置ASPF与Server-map表
sjsjshhs134654的博客
11-14 2482
Server-map表不是当前的连接信息,而是防火墙对当前连接分析后得到的即将到来报文的预测;如果没有命中则检查是否命中Server-map表;命中Server-map表的报文不受安全策略控制;防火墙最后为命中Server-map表的数据创建会话表。设备通过检测报文的应用层数据,自动获取相关信息并创建相应的会话表项,以保证这些应用的正常通信。这个功能称为ASPF,所创建的会话表项叫做Server-map表。分析报文,产生Server-map表。中的关键信息,报文命中该表后,
H3C 防火墙策略介绍
qq_55707182的博客
06-29 5357
注意点:H3C防火墙安全策略和域间策略安全策略的优先级大于域间策略,会优先匹配安全策略,匹配不到才会匹配域间策略域间策略:any to any的域间策略优先级低于具体的区域到具体的区域的域间策略安全策略匹配顺序:从上到下,和安全策略的ID号没有任何关联Local :默认防火墙所有接口都属于Local安全区域在初始化的时候,安全策略是空的,因为里面没有内容(没有隐含的拒绝所有的策略)生效的是域间策略,这个域间策略是拒绝所有的,所以刚开始是所有流量都不通的建议:使用一种策略来进行管理设备安全策略)1、将域
WAF开放规则定义权:专家策略+用户自定义策略=Web安全
zhaowei121的博客
03-19 588
在第一期“漫说安全”栏目中,我们用四格漫画的形式介绍了基于深度学习的阿里云WAF到底智能在哪里,能帮客户解决什么问题。 在今天的这期栏目里,我们依然通过漫画这种通俗易懂的方式,与大家分享阿里云WAF的另一大特点—开放。开放的云WAF到底有什么好处,答案就在漫画里_ 漫画看完,安全君依旧准备了问答环节哦 客户:云盾WAF具有哪些开放特征? 安全小二:1.开放的OpenAPI接口支...
WAF介绍
热门推荐
白清羽的博客
06-24 9万+
一、WAF产生的背景: 过去企业通常会采用防火墙,作为安全保障的第一道防线;当时的防火墙只是在第三层(网络层)有效的阻断一些数据包;而随着web应用的功能越来越丰富的时候,Web服务器因为其强大的计算能力,处理性能,蕴含较高的价值,成为主要的被攻击目标(第五层应用层)。而传统防火墙在阻止利用应用程序漏洞进行的攻击方面,却没有办法;在此背景下,waf(Web Application...
常见6种WAF绕过和防护原理
07-08 1万+
关于上传绕过WAF的姿势!
WAF的技术原理
qq_41666619的博客
03-29 1万+
WAF => Web Application Firewall ,可以用来屏蔽常见的网站漏洞攻击,如SQL注入,XML注入、XSS等。一般针对的是应用层而非网络层的入侵,从技术角度应该称之为Web IPS。其防护重点是SQL注入。Web防火墙产品部署在Web服务器的前面,串行接入,不仅在硬件性能上要求高,而且不能影响Web服务,所以HA功能、Bypass功能都是必须的,而且还要与负载均衡、W...
WAF基本原理与部署方式
曹世宏的博客
06-14 5万+
WAF介绍 WAF是什么? WAF的全称是(Web Application Firewall)即Web应用防火墙,简称WAF。 国际上公认的一种说法是:Web应用防火墙是通过执行一系列针对HTTP/HTTPS的安全策略来专门为Web应用提供保护的一款产品。 WAF常见的部署方式: WAF常见部署方式 WAF一般部署在Web服务器之前,用来保护Web应用。 那么WAF能做什么? WAF可以过滤HTTP/HTTPS协议流量,防护Web攻击。 WAF可以对Web应用进行安全审计 WAF可以防止CC攻击 应用
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值