一.防火墙技术
防火墙技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
防火墙技术的功能主要在于及时发现并处理计算机网络运行时可能存在的安全风险、数据传输等问题,其中处理措施包括隔离与保护,同时可对计算机网络安全当中的各项操作实施记录与检测,以确保计算机网络运行的安全性,保障用户资料与信息的完整性,为用户提供更好、更安全的计算机网络使用体验。
二 .防火墙的作用
1.作用
- 可以阻止自己“不喜欢“外部人来访。
- 可以阻止内部人访问。
- 但防火墙不关心访问的具体内容
2.防火墙的做法: - 作为网络的“大门“,必须部署在必经的所有的链路上 。
- 对经过的所有数据包,根据安全策略判定,是放行还是丢弃
三.实现安全策略的控制点-----五元组
四.访问控制列表ACL
1.ACL规则的匹配原则 - 防火墙安全规则遵循从上到下匹配原则,一旦有一条匹配,剩余的都不进行匹配。
- 如果所有的规则都没匹配到,则数据包将会被丢弃。
- 安全过滤规则主要包含源、目的地址和端口、TCP标志位,应用时间以及一些高级过滤选项。
五.防火墙的工作方式
1.包过滤
防火墙的包过滤技术一般只应用于OSI7层的模型网络层的数据中,其能够完成对防火墙的状态检测,从而预先可以把逻辑策略进行确定。逻辑策略主要针对地址、端口与源地址,通过防火墙所有的数据都需要进行分析,如果数据包内具有的信息和策略要求是不相符的,则其数据包就能够顺利通过,如果是完全相符的,则其数据包就被迅速拦截。计算机数据包传输的过程中,一般都会分解成为很多由目和地质等组成的一种小型数据包,当它们通过防火墙的时候,尽管其能够通过很多传输路径进行传输,而最终都会汇合于同一地方,在这个目地点位置,所有的数据包都需要进行防火墙的检测,在检测合格后,才会允许通过,如果传输的过程中,出现数据包的丢失以及地址的变化等情况,则就会被抛弃。
2.状态检测
状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。状态检测技术最适合提供对UDP协议的有限支持。它将所有通过防火墙的UDP分组均视为一个虚连接,当反向应答分组送达时,就认为一个虚拟连接已经建立。状态检测防火墙克服了包过滤防火墙和应用代理服务器的局限性,不仅仅检测“to”和“from”的地址,而且不要求每个访问的应用都有代理。
3.应用代理
应用代理防火墙主要的工作范围就是在OIS的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。这两种防火墙是应用较为普遍的防火墙,其他一些防火墙应用效果也较为显著,在实际应用中要综合具体的需求以及状况合理的选择防火墙的类型,这样才可以有效地避免防火墙的外部侵扰等问题的出现。
六…防火墙产品
七。防火墙的重要衡量指标-------性能
1.吞吐量:在不丢包的情况下单位时间内通过通过的数据报数量。
2.时延:数据包第一个比特进入防火墙到最后一比特从防火墙输出的时间间隔。
3.丢包率:通过防火墙传送时所丢失数据包数量占所发送数据包的比率。
4.并发连接数:防火墙能够同时处理的点对点连接的最大数目(状态防火墙)
5.新建连接数:在不丢包的情况下每秒可以建立的最大连接数(状态防火墙)
八.提高防火墙性能的方法 - 端口升级与虚拟化,需要有更强的处理能力。
- “策略硬件化”
扫一扫
4945
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
