一、防火墙(firewall):用于控制网络之间的通信。现在的防火墙还具有隔离网络、提供代理服务、流量控制等功能
1、包过滤防火墙
针对OSI模型中的网络层和传输层进行分析,用来控制IP、UDP、TCP、ICMP和其他协议,
只有满足条件的数据包才能通过,对数据包的检查一般包括源地址、目标地址和协议
2、代理服务器式防火墙
对传输层到应用层数据包进行检查,与包过滤防火墙对比,需要更高的开销,用户经过建立会话状态并通过认证及授权,才能访问到
受保护的网络。ISA可以看成是代理服务器式的防火墙
3、基于状态检测的防火墙
检测每一个TCP,UDP之类的会话链接。检测数据包的源地址、目的地址、端口号、TCP序列号信息以及此会话相关的其他标志信息。思科PIX和ASA
属于状态检测的防火墙
二、防火墙体系架构
防火墙按照安全级别可分为内网、外网和DMZ区。
内网:内网是防火墙的重点保护对象,包含公司网络内部的所有网络设备和主机。
外网:外网是防火墙的重点防范对象,针对公司外部访问用户、服务器和终端。外网发起的通信必须按照防火墙的规则过滤及审计。
DMZ区:dmz区又称周边服务,从内网中划分出来,包含向外网提供服务的服务器集合。DMZ中的服务器有Web服务器、邮件服务器、FTP服务器、外部
DNS服务器等。DMZ区保护级别较低,可以按照要求放开某些服务和应用。
防火墙结构常见术语:堡垒机、双重宿主主机。
堡垒主机:处于内网边缘ÿ
1、包过滤防火墙
针对OSI模型中的网络层和传输层进行分析,用来控制IP、UDP、TCP、ICMP和其他协议,
只有满足条件的数据包才能通过,对数据包的检查一般包括源地址、目标地址和协议
2、代理服务器式防火墙
对传输层到应用层数据包进行检查,与包过滤防火墙对比,需要更高的开销,用户经过建立会话状态并通过认证及授权,才能访问到
受保护的网络。ISA可以看成是代理服务器式的防火墙
3、基于状态检测的防火墙
检测每一个TCP,UDP之类的会话链接。检测数据包的源地址、目的地址、端口号、TCP序列号信息以及此会话相关的其他标志信息。思科PIX和ASA
属于状态检测的防火墙
二、防火墙体系架构
防火墙按照安全级别可分为内网、外网和DMZ区。
内网:内网是防火墙的重点保护对象,包含公司网络内部的所有网络设备和主机。
外网:外网是防火墙的重点防范对象,针对公司外部访问用户、服务器和终端。外网发起的通信必须按照防火墙的规则过滤及审计。
DMZ区:dmz区又称周边服务,从内网中划分出来,包含向外网提供服务的服务器集合。DMZ中的服务器有Web服务器、邮件服务器、FTP服务器、外部
DNS服务器等。DMZ区保护级别较低,可以按照要求放开某些服务和应用。
防火墙结构常见术语:堡垒机、双重宿主主机。
堡垒主机:处于内网边缘ÿ