02-防火墙介绍

最新推荐文章于 2024-04-24 23:37:50 发布
最新推荐文章于 2024-04-24 23:37:50 发布
阅读量5.2k 收藏 6
点赞数
分类专栏: 华为安全HCIA 文章标签: 网络 华为 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qianlai22/article/details/123279016
版权

包过滤防火墙

在这里插入图片描述

  • 包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。包过滤防火墙的基本原理是:通过配置访问控制列表(ACL,Access Control List)实施数据包的过滤。主要基于数据包中的源/目的IP地址、源/目的端口号、IP标识和报文传递的方向等信息。(五元组:源IP地址,源端口,目的IP地址,目的端口和传输层协议)

  • 包过滤防火墙的设计简单,非常易于实现,而且价格便宜。

  • 包过滤防火墙的缺点主要表现以下几点:

    • 随着ACL复杂度和长度的增加,其过滤性能呈指数下降趋势;

    • 静态的ACL规则难以适应动态的安全要求;

    • 包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器。

代理防火墙

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-SqrpjkNC-1646380909864)(https://tcs.teambition.net/storage/3124c67100c536d63383c70a43ac9f4cbd7b?Signature=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJBcHBJRCI6IjU5Mzc3MGZmODM5NjMyMDAyZTAzNThmMSIsIl9hcHBJZCI6IjU5Mzc3MGZmODM5NjMyMDAyZTAzNThmMSIsIl9vcmdhbml6YXRpb25JZCI6IiIsImV4cCI6MTY0Njk4NDA3NiwiaWF0IjoxNjQ2Mzc5Mjc2LCJyZXNvdXJjZSI6Ii9zdG9yYWdlLzMxMjRjNjcxMDBjNTM2ZDYzMzgzYzcwYTQzYWM5ZjRjYmQ3YiJ9.ih1-Uo0f-PxXnAD02nu2aDfDwYBXIfq7rov05SsDL2g&download=image.png "")]

  • 代理服务作用于网络的应用层,其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。代理检查来自用户的请求,用户通过安全策略检查后,该防火墙将代表外部用户与真正的服务器建立连接,转发外部用户请求,并将真正服务器返回的响应回送给外部用户。

  • 代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。其缺点主要表现在:

    • 软件实现限制了处理速度,易于遭受拒绝服务攻击;

    • 需要针对每一种协议开发应用层代理,开发周期长,而且升级很困难。

状态检测防火墙

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-qRYW1vTV-1646380909865)(https://tcs.teambition.net/storage/3124ba4a011a3e1d65bfeb56bdbf7a6465b2?Signature=eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJBcHBJRCI6IjU5Mzc3MGZmODM5NjMyMDAyZTAzNThmMSIsIl9hcHBJZCI6IjU5Mzc3MGZmODM5NjMyMDAyZTAzNThmMSIsIl9vcmdhbml6YXRpb25JZCI6IiIsImV4cCI6MTY0Njk4NDA3NiwiaWF0IjoxNjQ2Mzc5Mjc2LCJyZXNvdXJjZSI6Ii9zdG9yYWdlLzMxMjRiYTRhMDExYTNlMWQ2NWJmZWI1NmJkYmY3YTY0NjViMiJ9.cw8JblLEQx0Egpssxqqesn5e3JNSejRArvSmF31l5iQ&download=image.png "")]

  • 基本原理简述如下:

    • 状态检测防火墙使用各种会话表来追踪激活的TCP(TransmissionControl Protocol)会话和UDP(UserDatagram Protocol)伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接(UDP是面对无连接的协议),以对UDP连接过程进行状态监控的会话。

    • 状态检测防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存到会话表中,通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。

优点:

	后续数据包处理性能优异

	安全性较高

防火墙组网方式

最低0.47元/天 解锁文章
我是一条胖咸鱼
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
计算机网络-防火墙工作原理与安全策略
Linux基础知识、计算机网络基础学习分享。
02-21 1483
流量的转发有区域内和区域间,通过安全策略进行控制,安全策略匹配五元组、时间、用户等条件,匹配完成后进行允许或拒绝的动作,以此实现流量过滤。因为这种设备虽然部署在内网,但是经常需要被外网访问,存在较大安全隐患,同时一般又不允许其主动访问外网,所以将其部署一个优先级比trust低,但是比untrust高的安全区域中。一个安全区域是防火墙若干接口所连网络的集合,一个区域内的用户具有相同的安全属性。当防火墙收到流量后,对流量的属性(五元组、用户、时间段等)进行识别,然后与安全策略的条件进行匹配。
查看华为防火墙会话表
杨奇的博客
06-24 8562
Web查看防火墙会话表: 命令行查看防火墙会话表: <FW1>dis firewall session table Current Total Sessions : 19 icmp VPN: public --> public 192.168.1.2:18419 --> 172.16.1.2:2048 icmp VPN: public --> public 192.168.1.2:18163 --> 172.16.1.2:2048 icmp VPN:
中小型企业网络实战topo
最新发布
weixin_52654869的博客
04-24 1312
3、子网划分,局域网中全部使用10.0.0.0/8网段进行IP规划,根据公司的实际情况,合理规划拓扑需要的IP地址,2、子网划分,申请到了公网地址段,201.1.1.0/24,根据公司的实际情况,合理规划拓扑需要的公网地址,因为它是防火墙防火墙发挥作用的具体位置是在流量从一个"区域”流向另外一个"区域”,因为这边需要用到最少三个ip,所以我们可以采用201.1.1.0/29位的方式进行划分,可用主机位为。跟不同区域安全优先级,区域间的策略实现对过往流量控制,不划分区域,不清楚如何判断。
网络安全技术第七章——防火墙技术概述及应用(包过滤防火墙 、代理防火墙、状态检测防火墙、分布式防火墙
热门推荐
ZSWAries的博客
06-01 1万+
防火墙技术概述及应用 1.防火墙的概念 在计算机概念中,所谓防火墙就是指设置在不同网络之间(例如可信赖的企业内部局域网和不可信赖的公共网络)或者是不同网络安全域之间的一系列部件的组合。通过监测、限制、更改进入不同网络或不同安全域的数据流,以尽可能地对外部屏蔽网络内的信息结构和运行状况,防止发生不可预测的潜在的入侵,实现网络的安全保护。 防火墙其实是实现网络和信息安全最基础的设施。 2.高效可靠的防火墙应具备的基本特性 防火墙是不同网络之间,或网络的不同安全域之间的唯一出入口,从里到外和从外到里的所有信息都
华为防火墙技术
ejhrkejrk的博客
01-18 844
防火墙
防火墙工作原理和详解会话表
jj1130050965的博客
01-03 2585
防火墙工作原理 防火墙工作原理: 本质上是查看会话表。 报文到达防火墙,先查看是否会有会话表匹配。 如果有会话表匹配,则匹配会话表转发。 如果没有匹配会话表,看是否能够创建会话表。 前提是必须是首包才能创建会话表。 A.先匹配路由表。B.再匹配安全策略。 TCP: SYN ---------首包 ​ SYN+ACK ​ ACK ICMP echo-request----首包 ​ echo-reply UDP没有首包概念 状态检测机制: 状态尖刺机制开启的情况下,只有首包通过设备才能建立会话表,
防御保护----防火墙基本知识
Tmg3202915143的博客
01-29 2163
判断信息:数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)工作范围:网络层、传输层(3-4层)和路由器的区别:普通的路由器只检查数据包的目标地址,并选择一个达到目的地址的最佳路径;防火墙除了要解决目的路径以外还需要根据已经设定的规则进行判断“是与否”。技术应用:包过滤技术。优势:对于小型站点容易实现,处理速度快,价格便宜劣势:规则表会很快变得庞大复杂难运维,只能基于五元组;现在很多安全风险集中在应用层中,所以,仅关注三、四层的数据无法做到完全隔离安全风险;逐包进行包过滤检测,将导致防火
nexus-3.37.3-02-unix.tar.gz
03-10
本文将详细介绍如何在Unix系统中安装并运行Nexus 3.37.3-02版本。 首先,我们需要理解"nexus-3.37.3-02-unix.tar.gz"这个文件。这是一个压缩包,包含了Nexus 3.37.3-02的Unix版本。".tar.gz"是Unix/Linux系统常用的...
psqlodbc-13-02-0000-x64.zip
03-23
1. **驱动包介绍** "psqlodbc-13-02-0000-x64.zip"是针对PostgreSQL 13版本的ODBC驱动程序的64位版本,包含主要文件"psqlodbc_x64.msi",这是一个安装程序,用于在64位Windows系统上安装ODBC驱动;另外,"README....
奇安信网神防火墙系统(NSG系列)用户手册【6.1.10.51756_02】.pdf
08-24
本手册主要介绍 360 网神防火墙 Web 管理界面支持的各项功能及配置步骤
02-虚拟化技术配置指导-整本手册.pdf
02-20
H3C 防火墙产品配置指导(V7)介绍防火墙产品各软件特性的原理及其配置方法,包含原理简介、 配置任务描述和配置举例。《虚拟化技术配置指导》主要介绍IRF 和Context 相关的特性。 前言部分包含如下内容: • ...
华为防火墙内功心法修炼 强叔侃墙 内功心法篇
11-30
华为防火墙内功心法修炼 强叔侃墙 内功心法篇
DCFW-1800S-H-V2—— 02 防火墙配置手册
04-04
防火墙基本配置,基本信息,安全信息,设备介绍,设备功能。
华为HCNA-Security培训视频教程【共35集】.rar
09-25
02-TCPIP协议安全及常见网络攻击方式 03-防火墙概述 04-防火墙功能特性 05-防火墙设备管理 06-防火墙基本配置 07-状态检测防火墙原理 08-防火墙安全策略的基本使用 09-多通道协议技术 10-防火墙安全策略细调...
华为低端防火墙产品安装与基础调测培训.rar
09-22
02_CC411032 低端防火墙各类接口卡介绍 03_CC411033 低端防火墙的基本业务特性 04_CC411034 低端防火墙的高级特性 05_CC411035 低端防火墙的UTM特性 06_CC411036 初始连接配置 07_CC411037 基本命令行配置指导 ...
2021年H3C安全防火墙实验指导入门培训视频教程【共13集】.rar
10-28
00华三防火墙课程介绍mp4,网盘文件,永久连接 01设备基本管理mp4 02接口与安全区域mp4 03安全策略 packet-filter. mp4 04安全策略 object-polic及 security-policy-ip.mp4 05静态路由 static routing. mp4 06动态...
防火墙简介
zyp139的博客
07-29 1468
一、简介 防火墙:一个连接两个或多个网络区域,并且基于策略限制区域间流量的设备。 本质:监控作用,从一个区域到另一个区域的流量是通过安全策略来监控的 1.防火墙的三种类型: 包过滤防火墙–代理防火墙–状态检测防火墙 1)包过滤:本质ACL,逐包检测 缺点: 逐包检测,不能关联后续报文; 无法针对多通道协议放行端口; 不能检测应用层数据 2)代理防火墙 本质是做代理,典型应用:WAF 缺点: (1)...
防火墙基础
qq_43710889的博客
03-14 2843
防火墙概述 防火墙特征 逻辑区域过滤器 隐藏内网网络结构 自身安全保障 主动防御攻击 现代的防火墙体系不应该只是-一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有进出被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进出的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。而在各个被防火墙分割的网络之间,必须按照防火墙规定的“
防火墙入侵与检测 day02
果子哥丶的博客
05-20 1793
安全区域、防火墙的工作模式、 防火墙的分类、 基本配置、 安全策略、 FTP主动和被动模式、 ASPF帮助FTP数据报文穿越防火墙、 分片缓存( 分片过程 重组过程)、 长连接
深信服下一代防火墙AF用户手册V-8.0.59
11-21
本手册旨在为用户提供关于深信服下一代防火墙AF V-8.0.59的详细信息,包括产品功能介绍、安装与部署、系统设置、网络配置、安全策略、性能优化、故障排除等内容。用户可根据自身需求和实际情况,查阅相关章节以获得...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值