一、防火墙的部署方式
方式1:透明模式(桥模式)
防火墙设备提供两个接口,一个进、一个出。用户连接到防火墙,向公网发送数据包,经过防火墙到达目标服务器。防火墙只提供检测五元组的功能。内外网访问透明,可直接观测发送接收双方真实的IP地址。
优点:直接串联到链路上,不改变原有的网络IP地址配置。可以直接使用。
缺点:传输透明,发送接收方IP地址不变。外网攻击者可通过用户真实IP直接攻击到内网的特定用户主机。
方式2:网关模式
内网与防火墙之间设有一个入网的网关地址,防火墙与外网之间设有一个出网的网关地址。两个地址不同。
内网用户向外网服务器发送一个数据包时,首先向入网网关发送,交给防火墙,再由防火墙交给出网网关,发送至公网服务器。
优点:内外网之间不透明,防火墙实现了路由器的功能,为不同网段的互通做路由转发。外网只能监测到防火墙的IP地址,不能监测内网的发送主机IP。使外网攻击者只能攻击防火墙,避免了内网主机遭受直接打击的情况。
缺点:使用时需要配置网关地址,提供服务是时需要做地址翻译NAT(Network Address Translation),使用前需进行相应的网络配置,不能直接使用。
二、防火墙技术
1.网络地址转换(网络地址翻译)
内部可以主动访问外部,外部不能主动访问内部
内网与外网连接时,内网向防火墙发送数据包,防火墙将数据包源地址改为防火墙的公网地址,并向外网服务器转发。
外网服务器回发数据包时,发送至防火墙,防火墙将数据包的目的地址改为内网原发送主机的内网地址,并转发给该主机。
优点:内网采用私网地址,可扩大主机数量,避免公网地址数量少的缺点。隐藏内部网络结构,外网的入侵者,及即使监听到用户的通信,也无法确定用户的实际IP地址,无法确定攻击目标。
注:三类私网地址段:
A类:10.0.0.1-10.255.255.254
B类:172.16.0.0.1-172.31.255.254
C类:192.168.0.1-192.168.255.254
2.地址映射MAP
外部想访问内部服务器,需要地址映射MAP
首先在防火墙进行地址映射配置,将内网的主机地址与防火墙公网地址的不同端口进行相对应配置。
外网相要访问内网的某台服务器时,可直接访问防火墙公网地址的相应端口,防火墙接收到数据包时,根据映射配置自动转发至内网的特定服务器上。内网回发数据包同理。
优点:外部攻击者攻击网站时,只能攻击防火墙,无法攻击到网站服务器。攻击在防火墙阶段已经被截断。
3.高可靠性HA
虚拟路由冗余协议(Virtual Router Redundancy Protocol)
主备型:一台服务一台备用,同时两台之间连接控制。主设备无法工作时,备用设备将连接自动转移至备用设备。用户在使用上不会受到主设备暂停工作的影响。
主主型:两台设备同时服务,同时两台之间连接控制。一台设备无法工作时,另一台设备将连接自动转移。用户在使用上不会受到设备暂停工作的影响。
目前在各企业的骨干网络,通常使用典型的双冗余骨干网络设计。以保障服务畅通
三、下一代防火墙NGFW定义
NGFW技术核心:
NGFW与UTM的差异:
四、防火墙的新趋势-软件化
防火墙的未来发展方向:
处理能力高速化
检测能力智能化
部署方式软件化
56
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
