入侵防御之防火墙

概述

定义:
在两个网络之间执行访问控制策略的一个或一组安全系统,由计算机软、硬件设备组合而成。
作用:
1-保护内网中脆弱及存在安全漏洞的网络服务
2-实施安全策略,对网络通信进行访问控制
3-防止内网信息暴露
4-对内外网之间的通信进行监控审计
功能:
1-访问控制——最重要,网络安全策略
对经过防火墙的所有通信进行连通或阻断的安全控制
2-攻击防护
三层、四层攻击防护;五层功能不是很强
3-路由/交换
4-地址转换NAT
转换类型:源地址转换SNAT/目标地址转换DNAT
支持正向、反向地址转换
5-日志、分析、审计、报警
6-VPN
7-其他
工作重心:
区域隔离:
1-内部区域 Inside/trust
2-外部区域 Outside/untrust
3-DMZ区域:隔离区,非军事化区/停火区
三个区域间要想访问,必须经过防火墙。

工作模式及分类

1-透明模式

特点:防火墙工作在二层;内、外、DMZ网段,都在同一网段
一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下,用户需要加装防火墙以实现安全区域隔离的要求

2-路由模式

特点:内、外、DMZ配置不同网段
支持:NAT——SNAT/DNAT
重新规划/设计网络拓扑,相当于一台路由器

3-混合模式

特点:既存在工作在路由模式的接口,又存在工作在透明模式的接口

分类

1-包过滤防火墙
最早的技术之一,功能简单,配置复杂——已淘汰
2-状态检测包过滤防火墙
现代主流,速度快,功能较多
3-应用网关/代理防火墙
最早的技术之二,连接效率低,速度慢——惟一优点是工作在应用层,迟早被淘汰
4-WAF防火墙
部署在web服务器外围
5-应用层防火墙
未来发展方向,对第五层/七层数据进行检测
高速应用防火墙,DPI(Deep Packet Inspection)

关键技术

包过滤技术

工作对象:数据包的报头信息——协议类型,源、目的地址,源、目的端口号
工作层次:网络层
工作原理:从数据包中提取收发IP地址、端口等信息,按照预先设置的安全过滤规则为评判标准,来确定是否允许数据包通过。
缺陷:不能识别是否为“回包”

状态检测技术

工作对象:包头信息,连接状态
工作层次:网络层、传输层(三、四层)
工作原理:除策略/规则检查外,对其建立的每个连接都进行跟踪
##代理服务器技术
工作对象:数据包的数据部分
工作层次:应用层(五层)
工作原理/特点:完全阻隔网络通信流,每种应用服务编制专门代理程序,监视和控制应用层通信流
缺点:连接性能差(维持两个会话),可伸缩性差(代理不了UDP)
#技术指标

衡量性能5大指标

1-吞吐量
在不丢包的情况下单位时间内通过的数据包数量
正常吞吐量、安全过滤吞吐量
2-时延
数据包第一个比特进入防火墙到最后一比特从防火墙输出的时间间隔
3-丢包率
通过防火墙传送时所丢失的数据包数量占所发送数据包的比率
正常丢包率(瞬量流量大导致)、误杀丢包率(如杀毒误杀)
4-并发连接数
防火墙能够同时处理的点对点连接的最大数目
与待机数有关
5-新建连接数
在不丢包的情况下每秒可以建立的最大连接数

缺陷

1.不能防范不经过防火墙的攻击
2.不能防止策略配置不当或错误配置引起的安全威胁
3.不能防止本身的安全漏洞威胁
4.不能防止利用服务器系统和网络协议漏洞所进行的攻击
5.不能防止内部的泄密行为
6.不能防止受病毒感染的文件的传输
7.由于性能限制,通常不具备实时监控入侵的能力

  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值