网络与系统安全笔记------边界防御技术

网络边界
连接不同安全级别的网络之间的边界就称为网络边界。
边界防御技术
常见的有四种：防火墙技术，多重安全网关技术，网闸技术，虚拟专用网技术。

• 防火墙技术： 建立网络传输的控制规则，控制进入网络的必经通道。但是其无法对应用层进行识别。
• 多重安全网关技术： 也称统一威胁管理（UTM）网关，集成多种安全特性到一个硬件中，提供一项或者多项的安全功能，能够防御的攻击比防火墙更多，但是其单一功能的性能，稳定性与安全性弱于单一功能的安全设备。
• 网闸： 在不同安全域之间通过协议转换的方式，实现数据的交换，只有被系统明确传输的数据才能进行数据交换。安全隔离网闸从物理上隔离、阻断了具有潜在攻击可能的一切连接。安全隔离网闸难以确保数据传输的实时性和传输效率，无法防御应用层的某些攻击。
• 虚拟专用网： （VPN）在公共网络上建立专用数据通道的技术。

防火墙

是一种高级的网络控制设备，在不同的网络或者网络安全域之间的一系列部件的组合，也是网络之间的唯一出入口，能按照一定的安全策略（允许，拒绝，监测）控制出入网络的信息流。

特性

• 内部网络与外部网络之间数据的传输必须经过防火墙。
• 只有被授权合法的数据，即在防火墙系统安全策略中允许的数据才能通过防火墙。
• 防火墙自身具有良好的安全性。
• 人机界面良好，用户配置方便，便于管理。

分类

使用对象不同：企业，个人防火墙。
实现方式不同：软件，硬件，虚拟防火墙。
部署位置不同：分布式，个人，边界防火墙。
应用场景不同：web应用，云应用，工业防火墙。

执行准则

一切未被允许的就是禁止的
默认是禁止的，设置某些规则来对数据放行，一般用于数据的接收。
一切未被禁止的就是允许的
默认是允许的，设置某些规则来限制数据通过，一般用于数据的发送。