本文详细介绍了防火墙技术的分类,包括包过滤防火墙、代理服务器防火墙和状态监控防火墙,以及DMZ的概念、作用和网络访问规则。同时强调了系统化学习IT技术的重要性。
6、防火墙使用方法分类:网络层防火墙、物理层防火墙、链路层防火墙。
防火墙技术有很多种,其中以下三类比较常见:
1、包过滤防火墙
第一代防火墙技术。
它按照安全规则,检查所有进来的数据包,而这些安全规则大都是基于底层协议的,如IP、TCP。如果一个数据包满足以上所有规则,过滤路由器把数据向上层提交,或转发此数据包,否则就丢弃此包。
包过滤的优缺点
优点:一个过滤路由器能协助保护整个网络;数据包过滤对用户透明;过滤路由器速度快、效率高。
缺点:不能彻底防止地址欺骗;一些应用协议不适合于数据包过滤;正常的数据包过滤路由器无法执行某些安全策略。
- 代理服务器(软件防火墙的主流技术,经常为web流量使用代理服务器。特点:两个tcp会话、性能低下、支持的运用少,基于运用、运行在osi的高层,最安全的防火墙、web cache)
这种防火墙的工作方式和过滤数据包的防火墙、以路由器为基础的防火墙的工作方式稍有不同。它是基于软件的
代理技术的优缺点
优点:代理易于配置;代理能生成各项记录;代理能灵活、完全地控制进出的流量、内容;代理能过滤数据内容;代理能为用户提供透明的加密机制;代理可以方便地与其他安全手段集成。
缺点:代理速度较路由器慢;代理对用户不透明;对于每项服务代理可能要求不同的服务器;代理服务不能保证你免受所有协议弱点的限制;代理不能改进底层协议的安全性
3、状态监控包过滤防火墙(硬件防火墙的主流技术,为穿越的tcp和udp流量维护状态化表项。)
I:返回的数据包首先查询状态化表项,如果是以前连接的一部分,就算被acl拒绝也可以穿越防火墙;
Ii:状态化表项的维护:tcp/udp源目端口,源目ip地址,序列号,flag位;
Iii:高性能,硬件防火墙的主流技术;
三、什么是DMZ?
DMZ,是英文“demilitarized zone”的缩写,中文名称为“隔离区”,也称“非军事化区”.主要用于连接服务器和vpn设备
它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。该缓冲区位于企业内部网络和外部网络之间的小网络区域内.
在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。另一方面,通过这样一个DMZ区域,更加有效地保护了内部网络。
因为这种网络部署,比起一般的防火墙方案,对来自外网的攻击者来说又多了一道关卡。
面试题:
- 下列哪些设备应该放在DMZ区?
A, 认证服务器,B.邮件服务器 C. 数据库服务器 D.web服务器
答案你觉得会是哪个呢?
当然是web服务器,选D。
刚刚说过,DMZ是为了解决安装防火墙后,外部网络不能访问内部网络服务器的问题,所以设立一个非安全系统和安全系统之间的缓冲区,这个缓冲区位于企业内部网络和外部网络之间的小网络区域内,在这个小网络区域内可以放置一些必须公开的服务器设施,如企业Web服务器、FTP服务器和论坛等。
对于攻击者来说,多了一道关卡。
DMZ的两种连接方式?
画个图来表示下:
第一种方式:
第二种方式:
内网DMZ与外网之间的访问规则:
当规划一个拥有DMZ的网络时候,我们可以明确各个网络之间的访问关系,可以确定以下六条访问控制策略。
1.内网可以访问外网 内网的用户显然需要自由地访问外网。在这一策略中,防火墙需要进行源地址转换。
2.内网可以访问DMZ 此策略是为了方便内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网 很显然,内网中存放的是公司内部数据,这些数据不允许外网的用户进行访问。
4.外网可以访问DMZ DMZ中的服务器本身就是要给外界提供服务的,所以外网必须可以访问DMZ。同时,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
现在能在网上找到很多很多的学习资源,有免费的也有收费的,当我拿到1套比较全的学习资源之前,我并没着急去看第1节,我而是去审视这套资源是否值得学习,有时候也会去问一些学长的意见,如果可以之后,我会对这套学习资源做1个学习计划,我的学习计划主要包括规划图和学习进度表。
分享给大家这份我薅到的免费视频资料,质量还不错,大家可以跟着学习
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
