简述防火墙

最新推荐文章于 2023-04-21 14:58:37 发布
最新推荐文章于 2023-04-21 14:58:37 发布
阅读量1.1k 收藏 11
点赞数 1
分类专栏: R&S学习
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41554179/article/details/87808521
版权

什么是防火墙?

在遭受入侵时,做内外网隔离的策略叫做防火墙。

防火墙分类

  • 按物理特性划分:软件防火墙、硬件防火墙;
  • 按性能划分:百兆级防火墙、千兆级防火墙……
  • 按防火墙结构划分:单一主机防火墙、路由集成防火墙、分布式防火墙……
  • 按防火墙技术划分:应用代理防火墙、状态检测防火墙……

防火墙的功能

  • 访问控制
  • 地址转换
  • 网络环境支持
  • 带宽管理功能
  • 入侵检测和攻击防御
  • 用户认证
  • 高可用性

防火墙发展史

在这里插入图片描述

  • 包过滤防火墙(1989):访问控制代理防火墙
  • 代理技术状态防火墙(1994-5):会话机制
  • UTM(2004-5) :多功能叠加
  • 下一代防火墙(2009):深度检测技术
  • 网闸(国内):默认设备在物理上不连通,当软件层面放通流量时,内部的拨片连接

包过滤防火墙

本质

使静态ACL,并且是逐包检测的技术

工作过程

在这里插入图片描述

缺点

  • 检查数据逐包检查,效率低;
  • 绝大多数都是静态ACl;
  • 无法检查应用层的内容;

应用的技术发展和漏洞

双向ACL+动态NAT

入向的源IP和目的端口必须写成any
漏洞:

  • 可以通过伪造数据包突破
  • 可以通过不停的给防火墙的公网地址发送TCP的SYN包不发ACK占满防火墙的TCP等待表使防火墙无法建立新的TCP连接(半开攻击)
established acl

一个ACL能够拒绝外部向内部主动建立TCP连接,而不影响内部与外部的主动建立连接:检查Flag字段,查看TCP的RST(用于强制释放连接)和ACK的置位,可以做策略只有这两种置位的包可以进入内网,当外部想与内部主动建立TCP连接必须发送SYN包,该策略可以防止SYN进入。
漏洞:

  • 黑客发送大量伪造的ACK包,影响性能;
  • 黑客发送伪造RST包,使内网的TCP连接及内存强制断开清除;
自反ACL

当内部有包向外部发送,自反ACL将这个包的源目倒置的放行写在另一个ACL挂在回来的口,如果外部主动向内部发包,ACL中没有记录会被拒绝;

应用代理防火墙

代理内外网的数据将数据包应用层数据检查一遍

在这里插入图片描述

缺点:

由于要拆包检测数据所以性能很弱

状态检测防火墙(三四层防御)

理念升级,把网络中的数据以流的形式对待。流在状态防火墙,会形成会话表。

在这里插入图片描述

会话表的建立

会话表建立前提:检测路由或者MAC看是否能出去(有无出接口);NAT;策略检查;
过程:

  1. 流的第一个包进入防火墙,防火墙先去匹配规则,如果规则允许会到第二步,如果规则不允许,丢弃。(路由规则、nat的规则、策略);
  2. 会为流建立会话表,后续所有流的包直接匹配会话表进行转发。2.会为流建立会话表,后续所有流的包直接匹配会话表进行转发。

在这里插入图片描述
在这里插入图片描述
超时机制

  • 握手阶段会话表超时时间一般60s,防止tcp半开攻击。
  • 握手成功一般会话表的超时时间为60min。

缺点

只检查三、四层,无法防御病毒漏洞等攻击;

UTM(统一威胁管理)

多功能叠加防火墙,深度包检测技术,多次拆包,多次检测应用层性能低
在这里插入图片描述

应用技术

  • IDS入侵监测系统
  • IPS入侵防御系统:深度包检测技术(应用层内容特征)、深度流检测技术(流量的行为特征)
  • WAF:web应用防火墙,本质上是HTTP的代理服务器,只能防御针对web的攻击

防火墙性能指标

吞吐量

  • 吞吐量:防火墙能同时处理的最大数据量
  • 有效吞吐量:除掉TCP因为丢包和超时重发的数据, 实际的每秒传输有效速率
  • 衡量标准:吞吐量越大,性能越高

时延

  • 定义:数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标
  • 用于测量防火墙处理数据的速度理想的情况,测试的是其存储转发(Store and Forward)的性能。
  • 衡量标准:延时越小,性能越高

丢包率

  • 定义:在连续负载的情况下,防火墙由于资源不足,应转发但是未转发的百分比。
  • 衡量标准:丢包率越小,防火墙的性能越高

背靠背(缓存)

衡量标准:背靠背主要是指防火墙缓冲容量的大小。网络上常会出现一些突发的大流量(例如:NFS,备份,路由更新等),而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。

并发连接数

  • 定义:由于防火墙是针对连接进行处理的,并发连接数目是指防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。
  • 衡量指标:并发连接数指标越大,抗攻击能力也越强。

防火墙的问题

FTP的问题?

  • 请求和传输分为俩个端口实现,传输由服务器主动发出,防火墙的会话表是没有这个状态的,导致FTP传输无法成功。
  • 端口检测技术(ISPF),检查21号端口的传输的数据的数据部分(应用层)查看传输的协商端口,然后在防火墙上开放此端口。
  • 这种技术会使得防火墙性能下降。

ICMP的问题?

  • 没有端口,防御能力继续下降。一般防火墙会默认禁止icmp回报。

UDP的问题?

  • 没有flag字段,所以检测的元素会变少,防御效果会减弱。而且udp是无连接的,只能通过源目IP,端口去判断。
  • UDP对防火墙来讲也会创建虚连接会话表。
滑稽的炸薯条
关注
专栏目录
简述防火墙的主要功能
05-31
简述防火墙的主要功能,如防止内部信息外泄,对网络存取进行监控审计。
防火墙简述
qq_42227818的博客
05-28 226
1、搭建vsftpd,并实现虚拟用户 2、简述iptales四表五链及详细介绍iptables命令使用方法 搭建vsftpd,并实现虚拟用户 简述iptales四表五链及详细介绍iptables命令使用方法 ...
防火墙概述
lixbao的博客
04-18 1053
防火墙概述 1 防火墙的定义 防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。 路由器与交换机的本质是转发,防火墙的本质是控制和防护。 防火墙的工作原理是通过设置安全策略,来进行安全防护。 1.1 防火墙分类 按照不同特征划分 物理特性 性能 防火墙结构 防火墙技术 软件防火墙 百兆级防火墙 单一主机防火墙 包过滤防火墙 硬件防火墙 千兆
防火墙的作用
CGD_ProgramLife的博客
05-26 1万+
关于防火墙其实在技术专题中,我们有专门的介绍,只是内容比较散,因此我们在这里从比较简单的讲起,由浅入深的来了解一下防火墙防火墙的概念 当然,既然打算由浅入深的来了解,就要先看看防火墙的概念了。防火墙是汽车中一个部件的名称。在汽车中,利用防火墙把乘客和引擎隔开,以便汽车引擎一旦著火,防火墙不但能保护乘客安全,而同时还能让司机继续控制引擎。再电脑术语中,当然就不是这个意思了,我们可以类比来理解,在...
简述防火墙技术在计算机网络中的应用.pdf
10-12
简述防火墙技术在计算机网络中的应用.pdf
防火墙在网络安全中的功能和作用
03-04
目前防火墙已经在Internet上得到了广泛的应用,而且由于防火墙不限于TCP/IP协议的特点,也使其逐步在Internet之外更具生命力。客观的讲,防火墙并不是解决网络安全问题的万能药方,而只是网络安全政策和策略中的一个...
简述防火墙的工作原理
最新发布
08-20
防火墙的工作原理是通过配置安全策略来控制网络流量的访问权限。当网络流量经过防火墙时,防火墙会根据预先定义的安全策略进行匹配,并根据匹配结果决定是否允许流量通过。 防火墙的安全策略通常由管理员根据网络...
简述防火墙与第三方防火墙的区别
04-06
防火墙是一种网络安全设备,用于保护计算机网络不受未经授权的访问和恶意攻击。在防火墙的作用下,只有经过授权的用户和程序才能访问网络资源。 第三方防火墙是指由外部公司或机构提供的防火墙服务。这种服务通常...
防火墙的工作原理(一)
tchaikov的专栏
03-15 1907
防火墙的工作原理(一)Kevin Whistler “黑客会打上我的主意吗?”这么想就对了,黑客就想钻鸡蛋缝的苍蝇一样,看到一丝从系统漏洞发出的光亮就会蠢蠢欲动!好,如何保护你的网络呢?计算机的高手们也许一张嘴就提议你安装网络的防火墙,那么第一个问题就来了:到底什么是防火墙呢?什么是防火墙防火墙就是一种过滤塞(目前你这么理解不算错),你可以
防火墙的工作原理
weixin_43534549的博客
06-23 7014
首先,网络中为什么需要防火墙(firework)? 首先一个企业的内部网络,通过连线连到了互联网上,但在互联网上可能会有黑客,我们希望有些不该来的人不来,所以我们会在内部网络布置一个防护措施,同时,一个公司的内部也会有一些不该访问的人去访问一些东西,我们需要在一些重要资源面前建立一些访问控制的措施,保证没有授权的人不要访问。 其次,防火墙能解决什么问题? 防火墙可以阻止“自己不喜欢”外部人的...
防火墙基本原理
xxyy121的博客
09-05 8760
防火墙基本原理
防火墙的基本原理
m0_71999868的博客
09-06 2894
防火墙的发展以及分别的特点
什么是防火墙防火墙的工作原理
Theresa777的博客
04-21 429
防火墙,usg6000v1配置
防火墙是什么?防火墙的五个主要功能
热门推荐
驰网飞飞的博客
08-26 1万+
防火墙是网络基础设施中用于网络安全的设备,是用于网络安全的第一道防线。防火墙可以是硬件组成,也可以是软件组成,也可以是硬件和软件共同构成。防火墙的作用是检查通过防火墙的数据包并根据预设的安全策略决定数据包的流向。硬件防火墙可以集成在路由器或者网关中,借由路由器对网络的路由功能对流经的数据包进行分析和监控。...
深入理解防火墙的工作原理
悦分享
07-18 4913
如果用长连接,对于成千上万的用户,如果每个用户都占用一个连接的话,那可想而知,并发量大,防火墙的会话数爆涨,进而拖垮防火墙,对后端服务器也会造成一定的压力,所以每个用户无需频繁操作情况下需用短连接好。所以当后续该TCP会话中的第二个报文到达防火墙后,防火墙发现会话表中无此会话条目,防火墙会根据自身的转发机制从而丢弃该非tcpsyn报文,导致连接中断,所以开发人员要把使用长连接的需求告之运维人员,把防火墙上针对该条访问关系策略默认的会话时间设置久一点,从而可以避免会话中断的情况。...
防火墙知识总结
qq_53725746的博客
07-19 903
防火墙知识总结
防火墙是什么,其作用是什么?
ITIL之家公众号
06-11 1485
更多专业文档请访问 www.itilzj.com作为弱电行业的人员来说,其实对防火墙不必了解的太清楚,只需要了解它的作用与功能就行,然后在实际应该中看是否需要使用。1、什么是防火墙?我们知道,原是指古代人们房屋之间修建的那道墙,这道墙可以防止火灾发生的时候蔓延到别的房屋。而这里所说的防火墙当然不是指物理上的防火墙,而是指隔离在本地网络与外界网络之间的一道防御系统,其实原理...
防火墙与入侵防护系统
kexinxin1的博客
12-20 1958
防火墙与入侵防护系统 防火墙能够有效地保护本地系统或网络免受基于网络的威胁,同时支持通过广域网或Internet访问外部世界。 防火墙的必要性 企业,政府部分和其他一些机机构的信息系统都经历了一个稳定的发展过程: 集中式数据处理系统,包括一个可支持多终端与其直接连接的中央大型机系统。 局域网(LAN)将个人计算机和终端连接,并与大型机系统互联 驻地网(premises...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值