什么是防火墙?
防火墙是一种隔离(非授权用户在区域间)并过滤(对受保护网络有害流量或数据包)的设备
隔离不同的安全区域
防火墙允许授权的数据通过,而拒绝未经授权的数据通信。网络防火墙是隔离内部网与Internet之间的一道防御系统,允许人们在内部网和开放的Internet之间通信。
以前做防火墙的是nat和acl现在都用session和server-map表
Server-map 额外通道、隐秘通道
产生原因:防火墙无法解决特殊原因的流量放行问题,1.双通道协议 (ftp) 2STUN应用(多个通道,例如qq.文字与语音视频分开来)3,NAT
包过滤防火墙----访问控制列表技术—三层技术
:简单、速度快
:检查的颗粒度粗—五元组(源地址,目的地址,协议,源端口号,目的端口号)
代理防火墙----中间人技术—应用层
:降低包过滤颗粒度的一种做法,区域之间通信使用固定设备。
:代理技术只能针对特定的应用来实现,应用间不能通用。
:技术复杂,速度慢
:能防御应用层威胁,内容威胁
状态防火墙—会话追踪技术—三层、四层
在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
:首包机制 (有会话直接走会话,没会话查策略建会话,只能是第一个包建立,第一个包不是时间上的第一个,是这个会话的的第一个包。重传包不能创建)
:细颗粒度
:速度快(ACL要考虑往返流量,防火墙只考虑首包,你看我快不快就完了)
接口对(虚拟网线)
接口对:相当于防火墙的两个接口呈直连状态(速度快)运用场景两根网线要穿过防火墙做链路聚合可以做接口对来解决
1426
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
