边界安全——防火墙简介

已于 2024-07-23 09:58:43 修改
阅读量2.6k 收藏 6
点赞数
分类专栏: 网络和系统安全 linux 文章标签: 安全 网络
于 2022-11-28 11:25:56 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_53633989/article/details/128074966
版权

防火墙概述

防火墙是一种高级访问控制设备,置于不同的网络安全域之间一系列组件的组合,它是不同网络安全域间通信的唯一通道,能根据相关的安全策略控制控制进出网络的访问行为。

防火墙的作用

  1. 保护内部的网络免受外部Internet恶意的攻击
  2. 创建安全域
  3. 加强机构的安全管理策略

防火墙的历程

防火墙工作范围判断信息
包过滤防火墙网络层、传输层(3-4层)五元组
应用代理7层应用层所有应用层的信息包
状态检测数据链路层、网络层、传输层(2-4层)IP地址、端口号、TCp标记
入侵检测系统(IDS)2-7层抵御2-7层已知威胁
入侵防御系统(IPS)2-7层能够主动检测和防御
web应用防火墙(WAF)应用层(7层)用来保护web应用
防病毒网关(AV)2-7层基于网络侧识别病毒文件
下一代防火墙(NGFW)(2-7层)IDS,FW,IPS,AV,WAF
  1. 包过滤防火墙

包过滤是最早的防火墙技术,根据数据包头的信息和过滤的规则阻止或允许数据包通过防火墙
优点:速度快、对用户透明、配置简单规则很容易
缺点:安全性低、过滤配置完备性难以校验、不能检查应用层数据、没有用户和应用验证

  1. 应用代理防火墙

工作在应用层,核心是代理进程,每一种应用代理一个代理进程,实现监控和控制层通信流
自适应代理防火墙:在每个连接通信开始的时候仍然需要在应用层接受检测,而后面的包可以经过安全规则由自适应代理程序自动的选择是使用包过滤还是代理

  1. 状态防火墙

工作在传输层,使用各种状态表来追踪活跃的TCP会话
优点:更高安全性、高效性、应用范围广
缺点:不能对应用层数据进行控制、不能产生高层日志、配置复杂

  1. UTM 统一威胁感知

集合了之前所有的安全防护功能

  1. 下一代防火墙

必须有标准的防火墙功能,如NAT、状态检测、VPN、IPS,AV等功能

  1. 云安全,云上防火墙

随着云业务发展,云上的安全变得更加重要,东西向的流量需要进行管控

防火墙的功能

  • 访问控制
  • 地址转换
  • 网络环境支持
  • 宽带管理功能
  • 入侵检测和防御攻击
  • 用户认证
  • 高可用性

防火墙性能指标

吞吐量 时延 丢包率 背靠背 并发连接数:基于传输层

数据包过滤防火墙

包过滤是一种保安机制,它控制哪些数据包可以进出网络而哪些数据包应被网络拒绝

数据包过滤的安全策略方式

  1. 源地址
  2. 目的地址
  3. 源目端口号
  4. 标志位
  5. 数据包传送使用的数据包

在这里插入图片描述
包过滤规则的配置

协议的双向性:
协议总是双向的,协议总会有一个发送方和一个接收方,在指定规则时,要注意包的来源和去向
默认允许和默认拒绝:
安全策略有两种方法,默认拒绝和默认允许,从安全角度来看,用默认的拒绝应该更加合适。

包过滤器的规则

  1. 包过滤标准必须由包过滤设备端口存储起来,这些包过滤标准叫包过滤规则
  2. 当包到达端口时,对包的报头进行语法分析,大多数包过滤设备只检查IP、TCP或UDP报头中的字段,不检查包体的内容
  3. 包过滤器规则以特殊的方式存储
  4. 如果一条规则阻止包传输或接收,此包便不被允许通过
  5. 如果一条规则允许包传输或接收,该包可以继续处理
  6. 如果一个包不满足任何一条规则 该包被阻塞

在这里插入图片描述

包过滤软件IPTABLES规则的配置

filter表中进行规则的设置:

iptables -t filter -A INPUT -s 10.1.1.3 -j ACCEPT允许源地址为10.1.1.3进入
iptables -t filter -A INPUT ! -s 10.1.1.3 -j ACCEPT不允许源地址为10.1.1.3进入
iptables -t filter -A INPUT -s 10.1.1.3 -j DROP拒绝源地址为10.1.1.3进入
iptables -t filter -A OUTPUT -d 10.1.1.3-j DROP丢弃到达目标地址为10.1.1.3的包iptables -t filter -A OUTPUT ! -d 10.1.1.3 -j ACCEPT丢弃到达目标地址为10.1.1.3的包
iptables -t filter -A INPUT -d 10.1.1.2 -j DROP丢弃所有到目标地址10.1.1.2的包iptables -t filter -A OUTPUT -s 10.1.1.2 -j ACCEPT 源地址为10.1.1.2出去的包全部允许

iptables
iptables -nL 
-n 表示不对 IP 地址进行反查,加上这个参数显示速度将会加快。
-v 表示输出详细信息,包含通过该规则的数据包数量、总字节数以及相应的网络接口。
显示详细的信息:
[root@localhost ~]# iptables -L --line-number


iptables内置模块
多端口指定:
multiport
[root@localhost ~]# iptables -t filter -I INPUT -m multiport -p tcp --dports 20:22,80 -j ACCEPT

指定IP地址范围:
iprange 
[root@localhost ~]# iptables -t filter  -I INPUT -m iprange --src-range 10.1.1.2-10.1.1.10 -p tcp --dport 80 -j ACCEPT


被动模式:ftp
[root@localhost ~]# iptables -t filter -A INPUT -p tcp --dport 20:21 -j ACCEPT
开启端口的访问
[root@localhost ~]# iptables -t filter -A OUTPUT -p tcp --sport 20:21 -j ACCEPT

限制ftp的数据传输的端口
[root@localhost ~]# vim /etc/vsftpd/vsftpd.conf 
pasv_min_port=2000
pasv_max_port=3000

[root@localhost ~]# iptables -t filter  -A INPUT -p tcp --dport
 2000:3000 -j ACCEPT
[root@localhost ~]# iptables -t filter  -A OUTPUT -p tcp --sport 2000:3000 -j ACCEPT

状态连接:
state
[root@localhost ~]# iptables -t filter  -A OUTPUT -m state --state ESTABLISHED -j ACCEPT



指定mac地址的范围:
-m mac --mac-source   

设置tcp数据包的标志位的规则:
[root@localhost ~]# iptables -A INPUT -p tcp --dport 23 --tcp-flags SYN,ACK,FIN,RST,URG,PSH SYN -j REJECT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 23 --tcp-flags ALL SYN -j REJECT
[root@localhost ~]# iptables -A INPUT -p tcp --dport 23 --syn -j REJECT
-p tcp --tcp-flags LIST1 LIST2    
匹配指定的TCP标记,有两个参数列表,列表内部用逗号为分隔符,两个列表之间用空格分开,
LIST1用作参数检查,LIST2用作参数匹配。可用标志有:
SYN( 同步; 表示开始会话请求 ), ACK(应答),
FIN(结束; 结束会话),RST(复位;中断一个连接) ,
PSH(推送; 数据包立即发送),URG(紧急 ), 
ALL(指选定所有的标记),NONE(指未选定任何标记)

更改默认规则:
iptables -P OUTPUT ACCEPT

有关IPTABLES详细的介绍后面出文介绍

选择防火墙的原则

  1. 防火墙自身的安全性
    只有当防火墙自身设备的安全性完备时,才能为系统提供更安全的访问控制功能
  2. 考虑特殊的需求
    包过滤防火墙的主要功能是进行包的过滤,但也具有其他的功能,例如:IP地址转换,双重DNS,VPN虚拟企业网络,病毒扫描,特殊的控制需求
  3. 选择原则
    • 防火墙需要保护整个网络的安全
    • 防火墙必须能弥补其他操作系统的不足
    • 防火墙具有不同平台的选择
    • 防火墙具有完善的售后服务

防火墙的功能

地址转换NAT

IP地址总共32位,大概43亿,在2019年正式使用完全部的IP地址

地址分为:

  1. 公有地址
  2. 私有地址 不会在公网上分配,不需要申请就可以使用

RFC规定的三类私有地址如下:

A类:10.0.0.0/8
B类:172.16.0.0/16
C类:192.168.0.0/24

为了减缓IP地址枯竭的问题,使用NAT技术来作为IPv6之前的过渡
NAT通常部署在一个组织出口的地方,用于私有网络访问外部网络或者外部网络访问私有网络
作用:缓解ipv4地址枯竭的速度、保护内网安全
在这里插入图片描述
SNAT:源地址NAT,对源地址做地址转换,通常用于内网用户访问公网地址
静态模式:源IP地址和IP地址一一映射
动态模式:多对多的转换,IP地址先到先得
动态端口模式:多对多得转换,不仅会做源IP地址得转换,同时对端口进行转换
DNAT:目的地址转化,用于外网服务终端访问内网服务器的场景
NAT的局限性:

  • NAT违反了IP地址结构的模型的设计原则。每个地址应该标识一个网络连接
  • NAT违反了基本的网络分层结构模型的设计原则,即第N层应不能修改N+1层报文头内容,而NAT破坏了各层独立的原则
  • 多通道协议报文内部携带了IP地址信息,而NAT只能修改报文头部的IP地址和端口,NAT需要与其他技术像配合
木子南的翻斗花园
关注
  • 0
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
网络边界安全屏障——防火墙
03-04
互联网信息技术的发展,使得众多企业组织的内部网络开始连接到Internet上,这样企业在实现访问外部世界并与之通信的同时,...它的作用与古时候的寓所防火砖墙有类似之处,因此这个屏障就叫做\\\\\\\"防火墙\\\\\\\"。
浅谈企业网络安全边界
balance的博客
09-20 1万+
前言 企业网络安全关键在找准安全边界(攻击点):边界的左边是攻击者(脚本小子、骇客、APT攻击),边界的右边是网络资产、信息资产。企业网络安全建设则在安全边界处设防,尽可能做到安全边界不被攻破。 然而随着业务增多、技术演变、模式调整等因素,安全边界越来越多,也越来越模糊。但我们仍然要梳理出企业网络所有的安全边界,并全部加以防护,毕竟网络安全遵循短板效应,挂一漏万。 本文结合自身多年乙方安全和...
数据中心解决方案安全技术
热门推荐
permike的专栏
04-14 3万+
技术特色 在这种咄咄逼人的安全形势下,数据中心需要一个全方位一体化的安全部署方式。H3C数据中心安全解决方案秉承了H3C一贯倡导的“安全渗透理念”,将安全部署渗透到整个数据中心的设计、部署、运维中,为数据中心搭建起一个立体的、无缝的安全平台,真正做到了使安全贯穿数据链路层到网络应用层的目标,使安全保护无处不在。 H3C数据中心安全解决方案的技术特色可用十二个字概括:三重保护、多层防御;分区规划
防火墙边界是什么意思/防火墙边界防护-零基础白客教程
最新发布
程序员六七的博客
06-04 457
前言今天,给大家讲讲那么什么是防火墙呢?为什么需要防火墙呢?防火墙和路由器、交换机有什么区别呢?为什么需要防火墙如下图所示,内部网络和外部网络
网络边界安全
weixin_59872639的博客
12-28 2697
防火墙 防火墙的分类 按物理特性划分 软件防火墙 硬件防火墙 按性能划分 百兆级防火墙 千兆级防火墙防火墙结构划分 单一主机防火墙 路由集成防火墙 分布式防火墙防火墙技术划分 包过滤防火墙 应用代理防火墙 状态检测防火墙 防火墙的功能 访问控制 地址转换 网络环境支持 带宽管理功能 高可用性 用户认证 入侵检测和攻击防御 防火墙安全策略 定义 安全策略是按一定规则,控制设备对流量转发以及对流量进行内容安全一体化检测的策略。 .
18图详解防火墙和路由器、交换机的区别
br360的博客
03-12 995
(3)按照防火墙技术原理:防火墙可以分为包过滤防火墙、状态检测防火墙,AI防火墙;(后面章节会详细介绍这3种防火墙的区别。简单讲防火墙作为网络中的设备,它的作用也是对网络起到安全保护的作用,对进出网络的流量进量进行安全管理,保证内网的安全性。,保护一个网络区域免受另一个网络区域的攻击和入侵,通常被部署在网络边界,例如:企业互联网出口;(1)交换机的作用是接入终端和汇聚内部路由,负责二三层报文的转,发构建一个内部的园区网络;(1)企业内网访问internet时经过防火墙防火墙控制内外网流量,进行安全控制;
第四章-边界安全
z_h666的博客
01-11 1705
配置AF顺序:接口 – 路由 – NAT – 策略① 需求背景客户需求:现有的拓扑如下图,使用AF替换现有防火墙部署在出口,实现对内网用户和服务器安全防护。② 需求分析部署前我们需要做哪些准备工作?
网络安全——主机安全.pptx
06-09
主机安全 防火墙的定义 防火墙是一种特殊的网络控制设施,它处于被保护网络和其他网络边界,接收进出被保护网络的数据流,并根据防火墙所配置的访问策略进行过滤或做出其他操作。 网络安全——主机安全全文共36页...
常见网络安全设备简介.pptx
06-08
常见边界安全产品——防火墙 常见的三种部署模式: 1)透明模式 2)路由模式 3)旁路模式 常见网络安全设备简介全文共30页,当前为第4页。 常见边界安全产品——DDOS防火墙 DDOS攻击:利用合理的服务请求来占用过多...
寒江独钓——Windows内核安全编程
02-16
8. **安全策略与最佳实践**:分享系统安全配置的最佳实践,包括防火墙设置、更新管理、安全审计等,以提高系统的整体安全性。 9. **漏洞分析与防御**:分析已知的Windows内核漏洞,讨论其成因、影响和防御策略,...
构建集约化的运营商业务平台安全域防护体系——业务平台安全域划分及边界整合思路浅析
01-19
在此基础上,对不同业务平台的安全边界进行整合,并通过虚拟防火墙等方式,实现集约化防护。结合中国电信业务平台维护的实际情况及业界相关实践经验,分析业务平台安全域划分及边界整合方法,讨论如何构造集约化的...
深入剖析网络边界安全
05-01
本书讨论了计算机网络边界部件,如防火墙、路由器和IDS等。
边界安全防护技术
04-23
介绍边界防护技术,可用于上课教学,内容主要有:防火墙技术,网闸技术,数据交换网技术
论文研究-安全等级对信息系统安全技术策略的影响研究——以防火墙和IDS技术组合为例.pdf
09-20
论文研究-安全等级对信息系统安全技术策略的影响研究——以防火墙和IDS技术组合为例.pdf, 以防火墙和IDS技术组合为例,利用博弈论研究了信息系统安全等级对该安全技术...
云平台 IaaS 层内生安全技术研究.docx
05-25
鉴于云平台的安全特性,传统的边界防御已经不能满足安全需求,因此需要一种全新的安全设计理念——内生安全。这种设计理念的核心在于将安全机制直接嵌入到云平台的基础架构之中,而不是作为附加组件。具体来说,内生...
信息安全_数据安全_Keep_Everyone_In_Sync_Effective_.pdf
08-22
边界防御则是另一道防线,它包括防火墙、入侵检测系统等,旨在阻止未经授权的访问和攻击。然而,随着物联网(IoT)的发展,边界变得模糊,传统防御策略可能不足以应对“破产互联网”(Internet of bankruptcy)带来的...
网络安全--边界安全(1)
weixin_33725270的博客
07-23 2705
网络安全--边界安全(1)现在人们生活依赖互联网程度越来越高,网络安全也逐步进入人们日常视野,信用卡信息泄漏、开房记录被查询、商业机密泄漏等等;无不牵动着一个人、一个公司、甚至一个国家的神经。随着技术的发展,网络边界变得也越来越复杂,比如web应用、无线接入、DCI、×××等技术的应用,导致网络边界变的好像很庞杂,无从下手;但是无论是对边界进行分层加固,还是加强对各个网络入口...
3.3 边界安全防护设备
weixin_43263566的博客
08-06 2658
入侵防御系统(IPS)是一种综合了入侵检测和防火墙等基础机制的安全产品。它通过实时分析网络流量,检测和识别潜在的入侵行为,并采取相应措施来阻止入侵,以保护组织机构的信息系统安全。入侵防御系统集检测和防御于一体,能够及时阻断明确判断为攻击的行为,无需人员介入,但误报可能导致正常用户行为被拦截,因此入侵防御系统更侧重于风险控制。网闸(也称为物理隔离系统或安全隔离与信息交换系统)是一种用于满足我国涉及国家秘密的计算机系统必须与互联网物理隔离的要求的安全设备。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值