防火墙

防火墙

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-zhdJu8JO-1580739577147)(/Users/tongfei/Library/Application Support/typora-user-images/image-20191217160128808.png)]

防火墙的作用

1. 控制（包过滤）

   在网络连接上建立一个安全的控制点，对进出数据进行限制

2. 隔离（NAT）

   将需要进行保护的网络和不可信的网络进行隔离，隐藏信息并进行安全防护

3. 记录

   对进出数据进行检查，记录相关数据

防火墙的功能

1. 在网络协议栈的各个层次上实施网络访问限制机制

   • 网络层：包过滤
   • 传输层：电路级代理
   • 应用层：应用层代理网关

2. 基本功能：控制在计算机网络中不同信任程度网络域间传送的数据流

   • 检查控制进出网络的网络流量
   • 防止脆弱或者不安全的协议和服务
   • 防止内部网络信息的外泄
   • 对网络存取和访问进行监控审计
   • 防火墙可以强化网络安全策略并集成其他安全防御机制

防火墙的不足

1. 作为网络边界防护机制而先天无法防范的安全威胁
   • 来自网络内的安全威胁
   • 通过非法外联的网络攻击
   • 计算机病毒传播
2. 由于技术瓶颈问题目前还无法有效防护的安全威胁
   • 针对开放服务安全漏洞的渗透攻击
   • 针对网络客户端程序的的渗透攻击
   • 基于隐蔽通道进行通信的特洛伊木马或僵尸网络

防火墙的分类

1. 按防火墙形态

   • 硬件防火墙
   • 软件防火墙

2. 按技术实现

   • 包过滤（透明模式）
   • 代理

3. 按体系结构分

   • 双宿/多宿主机防火墙
   • 屏蔽主机防火墙
   • 屏蔽子网防火墙

4. 其他分类方法

防火墙的实现技术

• 包过滤技术
• 代理网关技术
• 状态检测技术
• 自适应代理技术

防火墙的部署方式

• 路由模式
• 混合模式
• 透明模式

防护墙部署方法

• 包过滤路由器

  [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-NpxRP7YS-1580739577148)(/Users/tongfei/Library/Application Support/typora-user-images/image-20191218094716343.png)]

• 双宿主堡垒主机

  [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-CPVClv3j-1580739577148)(/Users/tongfei/Library/Application Support/typora-user-images/image-20191218095050238.png)]

• 屏蔽主机

  [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-XVgS5fAa-1580739577149)(/Users/tongfei/Library/Application Support/typora-user-images/image-20191218095203480.png)]

• 屏蔽子网

• 几个基本概念：

  [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-N2RO10mf-1580739577149)(/Users/tongfei/Library/Application Support/typora-user-images/image-20191218094545319.png)]

  防火墙的策略设置

  1. 没有明确允许的就是禁止
     • 先阻止所有数据包
     • 需要的给予开放
  2. 没有明确禁止的就是允许
     • 对明确禁止的设置策略

防火墙的不足和局限

• 难于管理和配置，易造成安全漏洞
• 放外部防内，不能防范恶意的知情者
• 只实现了粗粒度的访问控制
• 很难为用户在防火墙内外提供一致的安全策略
• 不能防范病毒

（IDS）入侵检测系统的作用与功能

• 定义：是一种对网络传输进行即时监控，在发现可疑传输时 发出警报或者采取主动反应措施的安全设备。是一种积极主动的网络安全技术。

• 缺点：网络传输速率加快，IDS负担大，由于模式识别技术不完善，误报率高

• 作用：

  [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-lx2wKbOx-1580739577150)(/Users/tongfei/Library/Application Support/typora-user-images/image-20191218101115633.png)]

0 DAY 漏洞

刚被发现漏洞 还未来得及修复的

数据检测技术

1. 优点：

   • 准确率高
   • 算法简单

2. 关键问题：

   • 有所有的攻击特征，建立完备的特征库
   • 特征库要不断跟新
   • 无法检测新的更新

（IPS）入侵防御系统

• 接入方式：串行
• 工作机制：检测+阻断
• 不足：单点故障、性能瓶颈、误报

IDS与IPS

统一威胁管理系统（UTM）

Firewall+ids+ips+防毒墙

网络架构安全

1. 合理划分网络安全区域

   [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-fplJyhLt-1580739577150)(/Users/tongfei/Library/Application Support/typora-user-images/image-20191218110703865.png)]

2. 规划网络IP地址、vlan设计

   

3. 安全配置路由交换设备

   [外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-xnBUnDW9-1580739577151)(/Users/tongfei/Library/Application Support/typora-user-images/image-20191218111424558.png)]

4. 网络边界访问控制策略

   

5. 网络冗余配置（HSRP/VRRP）负载均衡