软考-防火墙技术与原理(2)，2024年最新揭秘ARouter路由机制

erthre

已于 2024-04-21 08:38:39 修改

阅读量760

点赞数 18

分类专栏： 2024年程序员学习文章标签：网络服务器 linux

于 2024-04-21 08:38:37 首次发布

本文链接：https://blog.csdn.net/erthre/article/details/138021789

版权

2024年程序员学习专栏收录该内容

287 篇文章 0 订阅

订阅专栏

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新Linux运维全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上运维知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip1024b （备注运维）

正文

包过滤

包过滤是在IP 层实现的防火墙技术，包过滤根据包的源IP 地址、目的IP 地址、源端口、目的端口及包传递方向等包头信息判断是否允许包通过。

包过滤是防火墙的基本功能之一。多数现代的IP 路由软件或设备都支持包过滤功能，并默认转发所有的包。包过滤的控制依据是规则集，典型的过滤规则表示格式由”规则号、匹配条件、匹配操作”三部分组成，一般的包过滤防火墙都用源IP 地址、目的IP 地址、源端口号、目的端口号、协议类型(UDP、TCP、ICMP)、通信方向、规则运算符来描述过滤规则条件。而匹配操作有拒绝、转发、审计三种。

思科访问控制

Cisco lOS 有两种访问规则形式，即标准IP 访问表和扩展IP 访问表，它们的区别主要是访问控制的条件不一样。标准IP 访问表只是根据IP 包的源地址进行，扩展IP 访问表同时匹配源地址和目的地址BW标准IP访问控制规则的格式如下

access-list list-numberfdeny I permit ) source[source-wildcard] [logl扩展IP 访问控制规则的格式是
access-list list-number(deny permit)protocol
source source-wildcard source-qualifiersdestination destination-wildcard destination-qualifiers[log log-input ]标准IP访问控制规则的list-number 规定为1-99,扩展IP 访问控制规则的list-number 规定为100~199；

deny 表示若经过Cisco lOs 过滤器的包条件不配，则禁止该包通过
permit 表示若经过Cisco los 过滤器的包条件匹配，则允许该包通过

source 表示来源的IP 地址
source-wildcard 表示发送数据包的主机IP 地址的通配符掩码，其中1代表“忽略”0代表需要匹配”any 代表任何来源的IP 包，host表示单个地址；

包过滤防火墙技术的优点:低负载、高通过率、对用户透明。
包过滤技术的弱点:不能在用户级别进行过滤，如不能识别不同的用户和防止IP 地址的盗用。如果攻击者把自己主机的IP 地址设成一个合法主机的IP 地址，就可以轻易通过包过滤器。

状态检测防火墙

状态检测防火墙是一种对网络流量进行检测的网络安全设备。它通过检测网络流量中的数据包内容和传输状态来判断是否允许数据包通过。

状态检测防火墙可以根据已知的网络协议和端口号来判断数据包的目的地和来源，同时还可以对数据包的传输状态进行判断，如连接的状态和数据包的大小等。

与传统的静态防火墙相比，状态检测防火墙具有更高的灵活性和可配置性。它可以识别和处理复杂的网络流量，同时也可以对新的网络攻击进行检测和防御

状态防火墙的处理包流程

状态防火墙的处理包流程通常分为以下几个步骤：

1.数据包的接收：防火墙首先会接收到网络数据包，然后根据配置规则对数据包进行进一步处理。

2.数据包的解析：防火墙会对数据包进行深度解析，包括协议类型、端口号、传输状态等方面的信息，并将其转换为相应的数据包格式。

3.状态检测：防火墙会对数据包的传输状态进行检测，如是否已经建立连接、是否是已知连接等等。如果数据包的状态符合预设规则，则防火墙会继续对数据包进行处理；如果不符合，防火墙将丢弃此数据包。

4.流量匹配：防火墙会根据配置规则对数据包进行流量匹配，看是否符合流量控制、安全策略等相关规定。如果符合，防火墙将允许数据包通过，并将其转发到下一节点；否则，防火墙将阻止数据包的进一步传输。

5.日志记录：防火墙会对所有数据包进行日志记录，包括源地址、目的地址、协议类型、端口号、传输状态等相关信息，这些信息有利于网络管理员进行网络故障排查和安全管理。

总之，状态防火墙是一种高效的网络安全设备，它可以对网络流量进行深入的检测，提高网络的安全性和可靠性。

应用服务代理

应用服务代理防火墙是一种特殊的防火墙设备，它主要用于保护应用服务的安全。与传统的网络防火墙不同，应用服务代理防火墙能够识别更多的应用层协议，包括HTTP、SMTP、FTP等，能够对应用层数据进行深入的检测和过滤。

应用服务代理防火墙和传统防火墙相比，具有以下优点：

1.更加精细的控制：应用服务代理防火墙能够识别不同的应用层协议，可以对不同的应用进行精细的控制和管理，从而提高了防火墙的安全性。

2.更加灵活的配置：应用服务代理防火墙可以根据不同的应用服务进行灵活的配置，可以对不同的应用服务进行不同的过滤规则，以便更好地保护应用服务的安全。

3.更加准确的检测：应用服务代理防火墙可以对应用层数据进行深入的检测，可以检测应用服务中的漏洞和安全缺陷，从而提高了防火墙的检测准确性。

应用服务代理防火墙与传统防火墙相比，虽然具有更加精细的控制和更加灵活的配置，但是也存在一些局限性，如处理速度较慢、不适用于大规模网络等情况。因此，在实际应用中需要根据具体情况进行选择。

网络地址转换技术

NAT是Network Address Translation 的英文缩写，即“网络地址转换”。NAT 技术主要是为了解决公开地址不足而出现的，它可以缓解少量因特网IP 地址和大量主机之间的矛盾。同时NAT可以提高了内部网络的安全性。
实现网络地址转换的方式主要有:

静态NAT(StaticNAT)：内部网络中的每个主机都被永久映射成外部网络中的某个合法的地址
NAT 池(pooledNAT)：在外部网络中配置合法地址集，采用动态分配的方法映射到内部网络。
端口NAT(PAT)：把内部地址映射到外部网络的一个IP 地址的不同端口上。

WEB防火墙技术

Web 应用防火墙是一种用于保护Web 服务器和Web 应用的网络安全机制。
Web 应用防火墙的HTTP 过滤的常见功能主要有允许 /禁止HTTP 请求类型、HTTP 协议头各个字段的长度限制.后缀名过滤、URL内容关键字过滤、Web 服务器返回内容过滤。
Web 应用防火墙可抵御的典型攻击主要是SQL 注入攻击、XSS 跨站脚本攻击、Web 应用扫描、Webshell.Cookie注入攻击、CSRF 攻击等。目前，开源Web 应用防火墙有ModSecurity、WebKlight、ShadowDaemon 等。

数据库防火墙

数据库防火墙是一种用于保护数据库服务器的网络安全机制。其技术原理主要是基于数据通信协议深度分析和虚拟补丁，根据安全规则对数据库访问操作及通信进行安全访问控制，防止数据库系统受到攻击威胁。
虚拟补丁技术通过在数据库外部创建一个安全屏障层，监控所有数据库活动，进而阻止可疑会话、操作程序或隔离用户，防止数据库漏洞被利用，从而不用打数据库厂商的补丁，也不需要停止服务，可以保护数据库安全。

工控防火墙技术

工控防火墙是一种用于保护工业设备及系统的网络安全机制。侧重于分析工控协议，主要包括Modbus TCP 协议EC 61850 协议、OPC 协议、Ethernet/IP 协议和DNP3 协议等。同时，工控防火墙要适应工业现场的恶劣环境及实时性高的工控操作要求。

下一代防火墙技术

下一代防火墙具有应用识别和控制、可应对安全威胁演变、检测隐藏的网络活动、动态快速响应攻击、支持统安全策略部署、智能化安全管理等新功能。如 :(1)应用识别和管控。(2)入侵防护IPS)。(3)数据防泄露。(4)恶意代码防护。(5)URL 分类与过滤。 (6) 带宽管理与QoS 优化。(7) 加密通信分析
防火墙共性关键技术:(1)深度包检测(2)操作系统(3)网络协议分析

防火墙主要产品

防火墙主要产品包括以下几种：

硬件防火墙：这种防火墙是一种用于保护网络的物理设备，通常在网络边缘放置，通过过滤网络流量来保护网络。
软件防火墙：这种防火墙是一种安装在主机或服务器上的软件，它能够监视和过滤进出主机的网络流量。
云防火墙：云防火墙是一种在云平台上实现的防火墙，以提供一种更好的网络安全保护和管理方式。
综合威胁管理（UTM）：UTM是一种综合的网络安全解决方案，它将多种安全功能集成在一起，包括防火墙、入侵检测、反病毒、虚拟专用网络（VPN）等。
下一代防火墙（NGFW）：NGFW是一种新型的防火墙，它能够在传统防火墙的基础上增加更多的安全功能，如应用程序控制、威胁情报、行为分析等。

防火墙防御体系结构

防火墙防御体系结构主要有基于双宿主主机防火墙、基于代理型防火墙、基于屏蔽子网的防火墙。

基于双宿主主机防火墙机构双宿主主机结构是最基本的防火墙结构。这种系统实质上是至少具有两个网络接口卡的主机系统。

基于代理型防火墙结构
代理型结构中由一台主机同外部网连接，该主机代理内部网和外部网的通信。同时，代理型结构中还通过路由器过滤，代理服务器和路由器共同构建一个网络安全边界防御架构。

基于屏蔽子网的防火墙结构
屏蔽子网结构是在代理型结构中增加一层周边网络的安全机制，使内部网络和外部网络有两层隔离带。
基于屏蔽子网的防火墙结构的特点如下

应用代理位牙被屏蔽子网中，内部网络向外公开的服务器也放在被屏蔽子网中，外部网络只能访问被屏蔽子网不能直接进入内部网络
两个包过滤路由器的功能和配置是不同的。包过滤路由器A 的作用是过滤外部网络对被屏蔽子网的访问。包过滤路由器B的作用是过滤被屏蔽子网对内部网络的访问。所有外部网络经由被屏蔽子网对内部网络的访问，都必须经过应用代理服务器的检查和认证。

优点：安全级别高
缺点：成本高，配置复杂

防火墙应用场景类型
1、上网保护；2、网站保护；3、数据保护；4、网络边界护；5、终端保护；6、网络安全应急响应

防火墙部署基本方法
防火墙部署的基本过程包含以下几个步骤:

第一步，根据组织或公司的安全策略要求，将网络划分成若干安全区域；
第二步，在安全区域之间设置针对网络通信的访问控制点；
第三步，针对不同访问控制点的通信业务需求，制定相应的边界安全策略；
第四步，依据控制点的边界安全策略，采用合适的防火墙技术和防范结构；
第五步，在防火墙上，配置实现对应的网络安全策略；
第六步，测试验证边界安全策略是否正常执行；
第七步，运行和维护防火墙。

IPtables防火墙

IPtables是Linux系统中最常用的防火墙程序之一。它使用规则集来控制网络流量，可以允许或拒绝特定的数据包或连接请求。IPtables可以根据源IP地址、目的IP地址、源端口、目的端口和协议类型等匹配条件来过滤数据包。它可以用于保护服务器免受网络攻击，也可以用于限制特定用户或应用程序的网络访问权限。IPtables的配置文件通常位于/etc/sysconfig/iptables或/etc/iptables/rules.v4文件中。

IPtables有四个表，分别是：

filter 表：这是默认的表，用于过滤数据包，并决定是否允许其通过防火墙。这个表主要用于限制特定IP地址或协议类型的网络访问。
nat 表：该表主要用于网络地址转换，它允许你将一个IP地址翻译为另一个IP地址。这个表通常用于将局域网内部的私有IP地址映射到公共网络上的公共IP地址。
mangle 表：该表主要用于修改数据包的头部信息或TOS字段。你可以使用这个表来实现QoS（Quality of Service）功能，以确保重要的数据包优先传输。
raw 表：该表用于禁止特定的协议进行连接跟踪，通常用于网络流量分析或网络监控。它不会进行任何的处理，只会简单地通过或丢弃数据包。

IPtables中的四个链，可以分为两类，分别是预定义链和用户自定义链。