网络与系统安全笔记------边界防御技术
网络边界
连接不同安全级别的网络之间的边界就称为网络边界。
边界防御技术
常见的有四种:防火墙技术,多重安全网关技术,网闸技术,虚拟专用网技术。
- 防火墙技术: 建立网络传输的控制规则,控制进入网络的必经通道。但是其无法对应用层进行识别。
- 多重安全网关技术: 也称统一威胁管理(UTM)网关,集成多种安全特性到一个硬件中,提供一项或者多项的安全功能,能够防御的攻击比防火墙更多,但是其单一功能的性能,稳定性与安全性弱于单一功能的安全设备。
- 网闸: 在不同安全域之间通过协议转换的方式,实现数据的交换,只有被系统明确传输的数据才能进行数据交换。安全隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接。安全隔离网闸难以确保数据传输的实时性和传输效率,无法防御应用层的某些攻击。
- 虚拟专用网: (VPN)在公共网络上建立专用数据通道的技术。
防火墙
是一种高级的网络控制设备,在不同的网络或者网络安全域之间的一系列部件的组合,也是网络之间的唯一出入口,能按照一定的安全策略(允许,拒绝,监测)控制出入网络的信息流。
特性
- 内部网络与外部网络之间数据的传输必须经过防火墙。
- 只有被授权合法的数据,即在防火墙系统安全策略中允许的数据才能通过防火墙。
- 防火墙自身具有良好的安全性。
- 人机界面良好,用户配置方便,便于管理。
分类
使用对象不同:企业,个人防火墙。
实现方式不同:软件,硬件,虚拟防火墙。
部署位置不同:分布式,个人,边界防火墙。
应用场景不同:web应用,云应用,工业防火墙。
执行准则
一切未被允许的就是禁止的
默认是禁止的,设置某些规则来对数据放行,一般用于数据的接收。
一切未被禁止的就是允许的
默认是允许的,设置某些规则来限制数据通过,一般用于数据的发送。