【总结】防火墙发展

已于 2022-09-17 16:31:47 修改
阅读量1.1k 收藏 9
点赞数
分类专栏: 网络安全 文章标签: 网络
于 2022-09-09 11:10:54 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_46777335/article/details/126778016
版权

防火墙的总结


防火墙

防火墙的定义

防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备、主要功能就是将授权用户与非授权用户隔离开。网络时代的更新迭代,对防火墙的需求跟要求愈发巨大,这也极大的推进了防火墙的发展,几经更新迭代,我们所使用的防火墙从包过滤防火墙一步一步迭代到了下一代防火墙。下面讲讲防火墙的发展历史。

防火墙的发展历史

包过滤防火墙----访问控制列表技术—三层技术

包过滤型防火墙运用ACL技术,可以对数据进行限制,但是,此种技术限制较大,虽然操作原理比较简单,但是无法动态改变策略,需要的人工操作量巨大。而且对用户与非用户之间的管理较为粗糙,安全性得不到保证。

代理防火墙----中间人技术—应用层

  • 降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
  • 代理防火墙可以针对应用层进行检测和扫描,可有效地防止应用层的恶意入侵和病毒。但是只能针对特定的应用来实现,应用间不能通用。
  • 代理防火墙的缺点是对系统的整体性能有较大的影响,系统的处理效率会有所下降,因为代理型防火墙对数据包进行内部结构的分析和处理,这会导致数据包的吞吐能力降低。

状态防火墙—会话追踪技术—三层、四层

在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。且具有首包机制(如下图),对第一个通过的包扫描安全策略,如果可以通过则创建会话表,后面的包则可以通过查看会话表来通行。会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。

首包机制

下一代防火墙

2008年Palo Alto Networks 公司发布了下一代防火墙(Next-Generation Firewall),解决了多个功能
同时运行时性能下降的问题。同时,下一代防火墙还可以基于用户、应用和内容来进行管控。2009年
Gartner(一家IT咨询公司) 对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性:

  1. 传统防火墙的功能
    NGFW是新环境下传统防火墙的替代产品,必须前向兼容传统防火墙的基本功能,包括包过滤、协议状
    态检测、NAT、VPN等。
  2. IPS 与防火墙的深度集成
    NGFW要支持IPS功能,且实现与防火墙功能的深度融合,实现1+1>2的效果。Gartner特别强调IPS与防
    火墙的“集成”而不仅仅是“联动”。例如,防火墙应根据IPS检测到的恶意流量自动更新下发安全策略,而
    不需要管理员的介入。换言之,集成IPS的防火墙将更加智能。Gartner发现,NGFW产品和独立IPS产品
    的市场正在融合,尤其是在企业边界的部署场景下,NGFW正在吸收独立IPS产品的市场。
  3. 应用感知与全栈可视化
    具备应用感知能力,并能够基于应用实施精细化的安全管控策略和层次化的带宽管理手段,是NGFW引
    进的最重要的能力。传统的状态检测防火墙工作在二到四层,不会对报文的载荷进行检查。NGFW能对
    七层检测,可以清楚地呈现网络中的具体业务,并实行管控。
  4. 利用防火墙以外的信息,增强管控能力
    防火墙能够利用其他IT系统提供的用户信息、位置信息、漏洞和网络资源信息等,帮助改进和优化安全
    策略。例如,通过集成用户认证系统,实现基于用户的安全策略,以应对移动办公场景下,IP地址变化
    带来的管控难题。

防火墙的分类

防火墙分类

  • 软,硬件形式分类:软件防火墙、硬件防火墙、芯片级防火墙。

  • 防火墙使用技术分类:包过滤型防火墙、应用代理型防火墙 。

  • 防火墙物理结构分类:单一主机防火墙、路由器集成式防火墙、分布式防火墙。

  • 防火墙的应用部署位置分类:边界防火墙、个人防火墙、混合防火墙。

  • 防火墙物理性能分类:百兆级防火墙、千兆级防火墙。

  • 防火墙工作所在层分类:网络层防火墙、物理层防火墙、链路层防火墙。

防火墙处理多通道协议

  • 多通道协议带来的技术难点:多通道协议比如FTP、VOIP等协议,通道是随机协商出的,防火墙不能设置策略也无法形成会话表。
  • 使用ASPF技术,查看协商端口号并动态建立server-map表放过协商通道的数据。
    ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能
    可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过
    检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据
    通道的报文,相当于自动创建了一条精细的“安全策略”。

防火墙如何处理NAT

NAT

nat

NAT协议的工作原理

NAT极大的延缓了IP地址资源的枯竭。
NAT地址转换协议,顾名思义,用于转换地址。为什么要转换地址,有何种用途?
使用场景常是私网访问公网,或者公网外设备需要访问私网的服务器的情况。

NAT在防火墙中的配置有以下几种形式:

一对一配置

  • 不带端口转换方式 静态NAT
  • 带端口转换方式NAPT
  • Easy IP

一对多配置

  • 地址池转换

多对多配置

端口映射

  • 目的Nat
Born to be
关注
  • 0
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
防火墙发展史及技术应用
m0_73245452的博客
09-08 1758
防火墙:是指一种将内网和外网,或者内网之间分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。
了解防火墙发展进程及基本原理------一堵了不起的墙
ZhangPengFeiToWinner的博客
11-23 5127
1.防火墙:在遭受到入侵时,做内外网的隔离策略叫做防火墙,网络之中我们一般把外网看作不安全区域,非法用户容易从外网入侵到内网,而内网一般我们看作相对安全的区域。 2.防火墙的分类: 防火墙的功能:1.访问控制;2.地址转化(做上网代理);3.带宽管理;4.入侵检测和防御攻击;5.用户认证。 3.防火墙的进化史: 与人类的进化史相似,防火墙发展历史也经历了从低级到高级、从功能简单到功能复杂的过程...
防火墙发展历史
weixin_30883271的博客
05-30 1187
+++++++++++++++++++++++++++++++++++++++标题:Linux系统防火墙发展过程内容:Linux防火墙发展历史;现常用的centos6与centos7的防火墙的差异及其原理图时间:2019年5月24日+++++++++++++++++++++++++++++++++++++++1. 防火墙的入门知识从逻辑上讲防火墙可以分为主机防火墙网络防护墙。 ...
防火墙(firewall)详细介绍(1),连续四年百度网络安全岗必问面试题
最新发布
2401_83944328的博客
04-14 752
(1)定义:由于防火墙是针对连接进行处理的,并发连接数目是指防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。(2)衡量指标:并发连接数指标越大,抗攻击能力也越强。并发连接数就是指防火墙最大能够同时处理的连接会话个数。并发连接数指的是防火墙设备最大能够维护的连接数的数量,这个指标越大,在一段时间内所能够允许同时上网的用户数越多。
防火墙发展历史
weixin_30564901的博客
06-15 3550
防火墙发展历史 第一代:包过滤防火墙 第二代:代理防火墙 第三代:状态监测防火墙发展史上的里程碑) 第四代:统一威胁管理(简称UTM) 第五代:下一代防火墙(简称NG) NOTE: 1) 我们现在常见的防火墙都是第五代防火墙。 2) 第五代防火墙的名字就叫“下一代防火墙”,没有指代之意。 第一代和第二代防火墙 第一代防火墙是1989年产生的,仅能实现简单的访问控制。 ...
防火墙的概念及发展历史
weixin_33700350的博客
08-30 1345
文章出处:www.net1980.com 在实际应用中,单一的安全防护技术并不足以构筑一个安全的网络安全体系,多种技术的综合应用才能够将安全风险控制在尽量小的范围内。一般而言,安全防范体系具体实施的第一项内容就是在内部网和外部网之间构筑一道防线,以抵御来自外部的绝大多数***,完成这项任务的网络边防产品我们称其为防火墙。 类...
防火墙技术发展
weixin_34235135的博客
06-08 565
一、防火墙技术发展概述   传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。随着防火墙技术的发展防火墙技术也得到了发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包过滤技术,在实际运用中,这些技术差别非常大,有的工作在OSI参考模式的网络层,;有的工作在传输层,还有的工作在应用层。   在这些...
防火墙发展
04-20
防火墙发展史以及对未来发展趋势的预测,写毕设论文时能帮助到。
【转】防火墙技术详细说明及技术发展趋势
学习........
09-14 1279
防火墙技术详细说明及技术发展趋势2007-09-07 来自:lizhe1985  [收藏到我的网摘]来源:赛迪网一、防火墙技术发展概述   传统的防火墙通常是基于访问控制列表(ACL)进行包过滤的,位于在内部专用网的入口处,所以也俗称"边界防火墙"。随着防火墙技术的发展防火墙技术也得到了发展,出现了一些新的防火墙技术,如电路级网关技术、应用网关技术和动态包过滤技术,在实际运用中,这些技术差别
高速光子防火墙关键技术综述
01-14
在介绍光子防火墙原理的基础上,基于相关运算和逻辑门2种主要实现方式综述了模式匹配技术,对比了各匹配系统的优劣,并总结了全光逻辑门的实现方法。最后,展望了全光模式匹配研究的下一步方向与发展趋势,即更高效...
Linux防火墙.pdf
04-12
 5.1 发展历史 64  5.2 为何要分析防火墙日志 64  5.3 psad特性 65  5.4 psad的安装 65  5.5 psad的 67  5.5.1 启动和停止psad 68  5.5.2 守护进程的唯一性 68  5.5.3 iptables策略配置 68  5.5.4 ...
精品资料(2021-2022年收藏)中国企业防火墙市场未来发展前景报告目录.docx
10-10
教育资料
大型网站架构方案分析与总结.docx
10-13
【大型网站架构方案分析与总结】 大型网站架构设计的核心目标是应对高负载、高数据交换和高数据流动性,确保系统的可扩展性、稳定性和高效性。以下是对大型网站架构中关键问题的详细分析: 1、**海量数据处理**:...
软件总结-总结.docx
10-08
2. **防火墙软件开发**:独立完成了一款防止非法连接的防火墙软件,虽然目前未实际应用,但随着公司发展,其价值将逐渐显现。 3. **交通诱导屏项目**:涉及设置软件、测试软件的编写和问题解决,对硬件模块的检测也...
防火墙未来的技术发展趋势
weixin_34257076的博客
01-19 468
随着新的网络***的出现,防火墙技术也有一些新的发展趋势。这主要可以从包过滤技术、防火墙体系结构和防火墙系统管理三方面来体现。防火墙包过滤技术发展趋势(1)一些防火墙厂商把在AAA系统上运用的用户认证及其服务扩展到防火墙中,使其拥有可以支持基于用户角色的安全策略功能。该功能在无线网络应用中非常必要。具有用户身份验证的防火墙通常是采用应用级网关技术的,包...
防火墙的前世今生
qq_23930765的博客
12-13 1301
(目前这功能只有路由器与交换机用的最多)4、第四代防火墙:真正防火墙开始普及其实算是第四代防火墙开始,第四代叫做UTM(统一威胁管理)时代,将状态防火墙、IPS、防病毒、URL过滤、行为管理、DPI、VPN等功能融合到一台防火墙上,博主最开始学习防火墙是从思科的PIX时代开始的,主打卖点就是远程接入的VPN,后来接触了华为的USG系列后,发现功能更加多,特别是应用控制、多种选路机制,更加的迎合于本土化的需求,随着项目接触华为的防火墙更多,也自购了两台二手的USG2110-F的,那会模拟器ENSP还没出现。
防火墙的四个阶段
Shiliang1995
03-16 4580
第一代,防火墙是基于路由器的,即防火墙与路由器一体,采用包过滤技术,它利用路由器本身对分组解析。第二代,由一系列具有防火墙功能的工具集组成,这一代的防火墙将过滤功能从路由器中独立出来,并在其中加入告警和审计功能。此时,用户可针对自己的需求来构造防火墙。这一代的防火墙是纯软件产品,对系统管理员提出来相当复杂的要求,因为管理员必须掌握和精通足够的知识,才能让防火墙运转良好。第三代,位应用层防火墙,建立...
防火墙技术发展趋势浅析
weixin_30485379的博客
11-08 570
  一、当前防火墙技术分类  防火墙技术经历了包过滤、应用代理网关、再到状态检测三个阶段。  1.1 包过滤技术  包过滤防火墙工作在网络层,对数据包的源及目地IP具有识别和控制作用,对于传输层,也只能识别数据包是TCP还是UDP及所用的端口信息,如下图所示。现在的路由器、Switch Router以及某些操作系统已经具有用Packet Filter控制的能力。  由于只...
防火墙的起源与发展
乘风丶破浪的博客
03-04 8018
防火墙,顾名思义,阻挡的是火,此词起源于建筑领域,正是用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。 引入到通信领域,防火墙也正是形象化地体现了这一特点:防火墙这一具体设备,通常用于两个网络之间的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。那么,用通信语言来定义,防...
h3c内部版技术白皮书》247项技术汇总
12-24
《H3C内部版技术白皮书》囊括了247项技术汇总,涵盖了网络、安全、云计算、大数据和人工智能等多个领域。其中,网络技术方面包括了交换机、路由器、无线网络、SDN等多项技术;安全技术涵盖了防火墙、入侵检测、安全管理等方面的技术;云计算技术包括了云平台、虚拟化、容器化等多项技术;大数据技术包括了数据存储、数据处理、数据分析等方面的技术;人工智能技术则包括了机器学习、自然语言处理、语音识别等多项技术。 这些技术的汇总反映了H3C在各个领域持续创新和发展,为客户提供了丰富的技术解决方案。同时,技术白皮书也是H3C内部对技术研发的总结和沉淀,对于公司内部的技术研发和知识管理具有重要的指导意义。通过技术白皮书的汇总,H3C可以更好地了解自身的技术实力和发展方向,进一步提升自身在行业中的竞争力。 总之,技术白皮书中的247项技术汇总是H3C技术实力的体现,也是对公司内部技术研发和管理的重要总结,将对公司未来的发展起到重要的指导作用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值