目录
一、防火墙中的相关概念
1、广义的防火墙概念
-
设备再加上对应的安全访问策略和安全行为机制,就是防火墙。
2、狭义的防火墙概念
-
安装了防火墙软件的设备(例如主机、路由器)都称为防火墙。
3、DMZ区(非军事区)
-
也称为“边界网络”, 是位于内网和外网的的边界的网络。
-
DMZ区出现的主要目的,就是提高网络的安全防护能力。
-
主要作用是存放内网中对外提供服务的服务器。
举例理解
5、防火墙的分类
-
包过滤防火墙
-
状态检测防火墙
-
代理服务
二、包过滤防火墙
-
一个简单有效的安全控制技术,这种防火墙,主要通过对数据包的源地址、目标地址、端口号等,也就是基于七层架构中的三层和四层,网络层和传输层的特征,来进行访问控制; 也可以简单理解为,基于网络层和传输层的特征,去与安全规则进行匹配,如果安全规则是允许通过,那防火墙允许访问,如果安全规则是不允许通过,那防火墙拒绝通信。
-
安全保护能力有限,只限于三层四层,如果安全攻击行为是处于高层的,那么包过滤防火墙是无感知的;例如应用层的病毒,包过滤防火墙是无法阻止的。
-
对用户透明,就是用户使用这种防火墙,无需在客户端进行一些配置、下载的操作,可以直接使用无需过多关注,传输性能好。
-
包过滤防火墙是静态开启的,就是说管理员配置好安全规则后,对应的端口就开启了,所以不建立链接状态表。
三、状态检测防火墙
-
本质与包过滤防火墙一样,也是工作在网络层和传输层。
-
但是相较于包过滤防火墙来讲,是一种相对更有效的安全控制的防火墙。
-
会对应用去建立链接状态表,也就是说端口可以动态的开启;比如说内网访问外网,数据包到防火墙以后,防火墙通过对应的规则一检查允许数据包通过,这时就开启一个端口,允许通信,同时会在防火墙内记录通信状态,当通信完成之后,这个通信状态就不存在了,刚打开的端口就会关闭。
四、代理服务
-
代理型防火墙相对来讲可以对更高层次的数据做检查,理论上讲,可以对应用层进行适当的控制,但是往往涉及到应用层的话,效率就会比较低。
五、防火墙相关考点
1、防火墙的特性
2、防火墙可进行过滤的对象
3、DMZ区
六、安全协议
1、SSL
-
Secure Socket layer,安全套接字层。
-
很好的解决了Internet和下层的应用,例如web和下层的TCP/IP之间无缝的一个链接。
-
对互联网的安全通信,有很重要的作用,目前还是基于SSL来保证像web的安全通信。
2、TLS
-
Transport Layer Security,传输层安全协议。
-
在SSL3.0的基础上做了一些扩展。
3、HTTPS(重点)
-
Hypertext Transfer Protocol Over Secure Socket Layer,基于SSL协议的超文本传输协议。
-
HTTP:超文本传输协议是明文的,只是简单的编码,通过抓包工具可以捕获网络上的通信数据包,从而进行简单编码的转义,就能看到通信的明文。
-
HTTPS:由于HTTP基于SSL(套接字层)进行了加密,所以保证了在互联网上传送的数据是安全的。
4、考点:各种安全协议之间的关系
4484
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
