.
防火墙
功能:
1、把未授权的用户阻挡在受保护的网络之外。
2、监视,审计,警告。
3、为NAT提供便利
4、作为IPsecVPN的平台
局限性:
1、内部网可能绕过防火墙连接到ISP
2、内部威胁。
3、设置不当的wifi会带来外部人员的访问。
4、内部的便携设备可能在外部被感染。
.
.
防火墙种类
积极过滤器;消极过滤器
包过滤型:包过滤防火墙;状态监测防火墙
代理型:应用级防火墙;电路级防火墙。
.
.
包过滤型防火墙(静态)
依据 IP地址,端口号,协议类型 来过滤。
1、源IP地址
2、目的IP地址
3、源和目标传输层地址:传输层端口号(如TCP,UDP)
4、IP协议字段
5、接口:有多个端口的路由器,包从路由器的哪个接口来,要到路由器的哪个接口去
优点:
1.配置简单
2.对用户是透明的
3.过滤简单,耗时短,速度快
.
缺点:
1.不检查更高层的数据
2.记录的信息有限
3.增加规则时,维护困难
4.不恰当的设置容易在不经意间带来安全漏洞
5.必须允许所有高端口号(1024以上)
6.不支持高级的用户认证
.
攻击:
1.IP地址欺骗
2.源路由攻击
3.细小分段攻击
.
.
状态监测防火墙(动态)
.
优点:
1.根据实际情况动态的自动生成或删除安全过滤规则
2.高效率,一开始对连接进行详细检查,通过之后添加规则,以后不用在同一连接上执行重复的检查。
3.在通信结束后,防火墙将自动删除关于这条连接的过滤规则
4.可以记录更多信息
区别
传统的包过滤器 基于单个包做出过滤决策,不考虑更高层的上下文。
状态检测包过滤器 通过创建出站TCP连接的目录来加强TCP流量规则。每个当前建立的连接都有一个条目。包过滤器现在只允许那些符合此目录中某个条目的配置文件的包进入高编号端口