图解防火墙

最新推荐文章于 2024-04-07 09:56:29 发布
最新推荐文章于 2024-04-07 09:56:29 发布
阅读量7.2k 收藏 23
点赞数 2
文章标签: 网络 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55922953/article/details/122601062
版权

1、什么是防火墙?

防火墙( Firewall )是防止火灾发生时,火势烧到其它区域,使用由防火材料砌的墙。

后来这个词语引入到了网络中,把从外向内的网络入侵行为看做是火灾,防止这种入侵的策略叫做防火墙。后来,防火墙不但用于防范外网,例如:对企业内网的 DoS 攻击或非法访问等,也开始防范从内部网络向互联网泄露信息、把内部网络作为攻击跳板等行为。

硬件防火墙可以实现 CIA机密性( Confidentiality )、完整性( Integrity )、可用性( Availability )这三种类型的对应策略。小企业会在局域网和互联网的边界部署防火墙。

2、防火墙有哪些类型?

防火墙可分为软件防火墙硬件防火墙。软件防火墙又可分为个人防火墙网关防火墙

个人防火墙

个人防火墙运行在 PC 上,用于监控 PC 和外网的通信信息。在 Windows 操作系统中集成了 Windows 防火墙。

杀毒软件产品厂家的个人防火墙一般包含在安全软件套件里。

网关防火墙

在网络中的网关上配置防火墙的功能,能对网络中的流量进行策略控制,这就是网关防火墙

网关防火墙分为两种,一种是在 Windows 、Linux 等操作系统上安装并运行防火墙软件的软件网关防火墙,另一种是使用专用设备的硬件网关防火墙

个人防火墙主要监控 PC 的通信流量,网关防火墙是监控网络中所有终端的通信流量,在网关处进行策略控制。

硬件防火墙

通过硬件设备实现的防火墙叫做硬件防火墙,外形跟路由器相似,接口类型通常有千兆网口、万兆光口。

3、防火墙有哪些技术类型?

4、什么是代理服务器?

代理服务器是应用网关防火墙的一种。假设客户端和 HTTP 服务器通信时, 客户端发送请求报文时,代理服务器会替代客户端向 HTTP 服务器发送请求;HTTP 服务器回复响应报文时,代理服务器会代替 HTTP 服务器向客户端回复。对于客户端来说,代理服务器就是 HTTP 服务器。客户端和代理服务器、代理服务器和 HTTP 服务器分别建立两个会话。

  • 从客户端收到的请求报文、从服务器收到响应报文,代理服务器都会在应用层进行检查,如果有异常就放弃通信或发送出错信息。

  • 由于代理服务器是会话的起点,对互联网的服务器来说,是看不到客户端的 IP 地址。

报文过滤防火墙是以 IP 或 TCP/UDP 为对象,判断是否允许通信。而应用网关防火墙是以应用程序为对象,也就是将 FTP 、HTTP 、Telnet 、DNS 等为对象进行判断。

5、防火墙有哪些接口模式?

防火墙有四种接口模式,分别是 L3 模式L2 模式L1 模式TAP 模式

L1 ~ L3 模式是将防火墙进行串连,TAP 模式是防火墙进行旁挂。

6、防火墙能防范哪些威胁?

防火墙能够防范的威胁如下:

  • 窃听:通过窃听网络数据获取银行卡号、密码等重要信息

  • 篡改:将网站主页、邮件等通信内容恶意修改

  • 破坏:通过电脑病毒或DoS攻击等破坏系统的正常工作

  • 冒充:冒充他人发送邮件,对接收方进行钓鱼、诈骗等行为

  • 信息泄露:电脑或服务器上的重要信息或文档泄露

  • 攻击跳板:作为病毒部署或DoS攻击的跳板

  • 垃圾邮件:以营利为目的发送大量邮件

7、有哪些人会威胁安全?

  • 黑客( hacker ):是指精通计算机技术的人,并非特指网络攻击者。

  • 破解者( cracker ):对网络进行非法访问、窃听信息、篡改等行为的人。

  • 攻击者( attacker ):使用 DoS 等攻击系统,以造成系统宕机为目的的人。

  • 妨碍者:发送大量垃圾邮件、在论坛粘贴大量广告、发布大量无意义信息的人。

  • 普通用户:尽管不会主动攻击,但在病毒、蠕虫等感染电脑后,成为威胁网络安全的对象。

  • 僵尸( bot ):作为攻击跳板的终端,被植入具有攻击程序的病毒,遭受感染的终端叫做僵尸,由大量僵尸程序组成的网络叫做僵尸网络。

8、防火墙有哪些功能?

防火墙常见的功能有:会话管理报文结构解析安全区域安全策略NATVPNDoS 防御报文攻击防御内容扫描监控和报告报文抓包

9、什么是会话?

会话是两个终端系统之间的逻辑连接,从开始到结束的通信过程。

TCP 中,客户端和服务器通信,使用 3 次握手建立 1 个 TCP 连接,客户端发送请求( request ),服务器进行回应( response ),直至结束的过程就是进行了 1 个会话通信。

UDP 中,客户端和服务器的源端口和目的端口一致,之后的一系列通信都叫做会话。

ICMP 中,Echo request 和对应的 Echo reply 组成 1 个会话。

数据流是一组有序,有起点和终点的数据序列。一个会话有两个数据流( flow ):一个是 “ 客户端到服务器 ”( client to server ),另一个是 “ 服务器到客户端 ”( server to client )。

10、什么是 TCP 连接管理?

在数据通信前,客户端发送一个 SYN 包作为建立连接的请求。如果服务器发来回应,则认为可以开始数据通信。如果未收到服务器的回应,就不会进行数据通信。在通信结束时,会使用 FIN 包进行断开连接的处理。

SYN 包和 FIN 包是通过 TCP 头部的控制字段来管理 TCP 连接。一个连接的建立与断开,正常过程至少需要来回发送 7 个包才能完成。建立一个 TCP 连接需要发送 3 个包,这个过程叫作三次握手。断开一个 TCP 连接需要发送 4 个包,这个过程也称作四次挥手。创建一个 TCP 连接,会产生一个 32 位随机序列号,因为每一个新的连接使用一个新的随机序列号。

  • SYN 检查

TCP 会话开始时,客户端会发送一个 SYN 消息。如果没有会话信息,或尚未建立会话,即非 SYN 消息的 TCP 数据段到达防火墙,防火墙会当做非法消息而丢弃。

  • ACK 检查

通过对 SYN-ACK 的 ACK 消息检查,确认进行中的 3 次握手是否是非法尝试,防范 SYN Flood 攻击。

  • 重复数据段检查

防火墙收到重复数据段,也就是序列号相同的 TCP 数据段,可以选择接收或者丢弃。

  • 窗口检查

防火墙可以检测 TCP 头部的序列号和滑动窗口大小,拦截超过滑动窗口容量数据的序列号。

  • 数据段重组

防火墙可以验证 TCP 数据段序列号是否完整。

11、防火墙如何建立会话?

a.防火墙收到报文后,首先检查会话表,确认是否有相同的会话。如果有相同会话,那么会禁止会话建立,确保会话都是唯一的。

b.如果是不同会话,那么检查报文,通常是查看路由表或 MAC 地址表来确定转发路径。如果可以转发,就确定对应的转发出接口和目的网段。如果不能转发,就丢弃这个数据。

c.报文检查目的地址是否需要进行 NAT 。如果需要,就先完成 NAT ,然后转发到相应出接口和目的网段。

d.对报文和目的信息进行安全策略检查,源信息是源接口、源区域和源地址,目的信息是目的接口、目的区域和目的地址。如果有匹配的安全策略,就根据策略进行处理,允许通信就进行转发,拒绝通信就进行丢弃。如果没有匹配的安全策略,就根据默认拒绝的策略丢弃数据。

e.当报文被允许通信时,防火墙的会话表中就会生成相应的会话信息。

12、什么是会话生存时间?

自动生成的会话表信息,是有一定的生存时间。会话建立后,一段时间内一直没有进行通信,防火墙会删除生存时间到期的会话表项。如果长期保留会话表项,这些会话信息可能会被恶意攻击。同时,会话表是会占用防火墙资源,防火墙的会话表项的数量也是有限的,长期保留闲置的会话,会影响新会话的生成。

会话时间可以根据协议的不同,分别进行设置。

13、会话如何正常终止?

客户端完成数据传输后,发送 FIN 消息,即使用 FIN 标志位的 TCP 数据段。

服务器收到 FIN 消息后,在回复消息中,使用 FIN 和 ACK 标志位,并将 ACK 编号设置为“接收的 Seq 编号 + 1 ” 。

客户端相同处理方式,在回复消息中,使用 ACK 标志位,并将 ACK 编号设置为“接收的 Seq 编号 + 1 ” 。

如果客户端或服务器在连接过程发生故障,只有一方是侦听状态,这叫做半侦听或半关闭。如果通信恢复,接收到故障前的数据段,那么会回复 RST 消息,强制终止 TCP 连接。

当防火墙收到 FIN 或 RST 消息时,会启动一个 30 秒的定时器。即使 FIN → FIN-ACK → ACK 的终止过程没完成,防火墙也会强制删除会话表项。

14、什么是 UDP 数据流?

UDP 不需要像 TCP 一样 3 次握手,客户端和服务器直接使用应用程序的 UDP 数据进行交互。

UDP 数据流是指源 IP 地址、源端口号、目的 IP 地址和目的端口号这 4 个参数都相同的一系列 UDP 数据。

DNS 和 SNMP 这类应用程序,只需要 1 个 UDP 数据,就能构成 1 个数据流。

音频和视频使用的 RTP ,就需要多个 UDP 数据,来构成 1 个数据流。

15、没有端口号的协议如何生成会话?

像 ICMP 这类没有端口号的协议,是直接根据 IP 头部的协议号来生成会话。

防火墙通过识别 ICMP 不同的请求消息和对应的响应消息,来判断这些消息序列是否属于同一个会话。

16、两台防火墙,如何管理会话?

通常两台防火墙会使用主备方式的冗余结构,对主防火墙和备防火墙的会话信息进行同步。主防火墙负责建立用户通信的会话,并把会话信息记录到会话表中,同时将信息转发到备防火墙。

17、会话管理有什么防御功能?

防火墙可以通过限制会话数量,能够防范 DoS 攻击,还能控制防火墙的负载,提高防火墙的性能。

防火墙可以以 TCP SYN 、UDP 、ICMP 等协议为单位,通过指定源与目的的组合方式,来限制这类会话的数目。

本文转自网络技术平台  禁止二次转载  请联系作者授权

ZL研知己
关注
  • 2
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
防火墙性能测试实战篇-Python脚本工具
悦分享
06-16 1101
1 协议概述Modbus是一种串行通信协议,是Modicon公司(现在的施耐德电气 Schneider Electric)于1979年为使用可编程逻辑控制器(PLC)通信而发表。1996年施耐德公司推出基于以太网TCP/IP的Modbus协议:ModbusTCP。目前,modbus协议已经是工控网络中最常用的通信协议之一。Modbus协议是一项应用层报文传输协议,包括ASCII、RTU、TCP三种报文类型。标准的Modbus协议物理层接口有RS232、RS422、RS485和以太网接口,采用master/s
图解防火墙(上)
networktp的博客
01-16 1596
大家好,我是小弗。随着公司年底考核的结束,同时也为了保住这一年的运营成果,重大的项目或变更,统统挪到了春节之后再启动。目前,算是迎来了一年当中最空闲的时候,做做明年的工作计划,其余时间用来摸鱼。也就下周还有线上年会的事情要忙一下,之后就是等着回家过年。不知道各位可爱的读者准备如何过年呀?期待您在留言区的反馈。 1、什么是防火墙防火墙( Firewall )是防止火灾发生时,火势烧到其它区域,使用由防火材料砌的墙。 后来这个词语引入到了网络中,把从外向内的网络入侵行为看做是火灾,防止这种入侵的策略叫做防
防火墙的原理、设计与实现
qq_52611791的博客
05-16 2824
为实现预设实验目标要求将网络划分为 inside(内网)、outside(外网)、dmz(服务器区)三个区域,并对防火墙进行配置,使得内网和 DMZ 区的设备可以访问外网的设备,内网设备可以访问 DMZ区设备,但是 DMZ 区设备不能访问内网设备,外网设备可以访问 DMZ 区的设备。防火墙是保证内、外部网络通信安全的主要设备,其利用制定的访问策略对通过它的数据进行监控和审查,实现对网络存在威胁的数据包的过滤、屏蔽和阻拦,以保证内部网络不会受外部的非法访问和攻击。(2)形成集中监视点。(1)隔离内外部网络
防火墙的安全策略及其三种工作模式
qq_44850340的博客
02-04 1万+
安全策略(缺省情况下,域内安全策略缺省动作为允许): 1、域间或域内安全策略:用于控制域间或域内的流量,此时的安全策略既有传统包过滤功能,也有对流量进行IPS、AV、Web过滤、应用控制等进一步的应用层检测的作用。      域间或域内安全策略是包过滤、UTM应用层检测等多种安全检查同时实施的一体化策略。 2.应用在接口上的包过滤规则:用于控制接口的流量,就是传统的包过滤功能,基于...
安全设备篇——防火墙
最新发布
qq_61807674的博客
04-07 1034
这么快就到总结了,防火墙其实真的是很简单的设备,这里还是以安全厂家的主流产品防火墙的角度去切入的,所以篇幅很短,当然了,很多细节诸如策略优先级等这里基本略过了,各家厂商的防火墙介绍在官网还是能查到的,所以就不替大家复制粘贴了,防火墙也是安服仔们必须知道的设备,不然封个恶意IP都懵逼,肯定会被甲方爸爸赶出去的。),指定a、b的区域,指定访问的端口,锁定策略。简单点说呢,对象就是你需要指定的目标,比如a的IP地址需要访问b的IP地址,此时a即为源地址,b为目的地址,a和b都是对象,需要先新建a和b两个对象。
网测科技_防火墙自动化检测案例
Netitest的博客
11-14 241
防火墙自动化检测案例
防火墙基础知识
爱意随风起,人生不可弃。
10-18 1万+
攻击模式:先ping服务器的在线ip,再扫描端口。通信双方一定会交互报文,即安全区域的两个方向上都有报文的传输,通过设置安全区域,防火墙的安全区域之间有等级明确的域间关系,不同的安全区域代表不同网络防火墙成为连接各个网络的节点,以此为基础,防火墙可以对各网络之间流动的报文实施管控。安全区域是防火墙的重要概念,简称:区域(zone),安全区域是一个或多个接口的集合,是防火墙区别路由器的主要特性,防火墙通过安全区域来划分网络,标识报文流动的“路线”,一般来说,当报文在不同的安全区域流动时,才会受到控制。
防火墙
qq_43272170的博客
12-06 810
防火墙 在生活中----用于阻止火势蔓延的一堵墙(主要是石膏板 哈哈哈) 在网络中(从建筑里的概念引用过来的)---在遭受入侵时,做内外网隔离的策略叫做防火墙 发展史: 第一阶段:包过滤阶段(1989年): 如所示:R0上做了G0/0->G0/1方向的NAT,此时左边可以访问右边的外网server1; 在知道对端网络部署的情况下,当server1没有工作时,PC1可...
H3C SecPath系列防火墙配置图解.rar
08-01
01web管埋贞由配置图解pdt 02 -License注册配置图解pdf 03安全策略配置图解pdf 04指定P方式接入 nternet配置图解pdf 05DHCP方式接 nternet配置图解pdf 106-PpoE方式接入 Internet配置图解pdf 07透明模式接入 ...
安胜防火墙初始化配置~图解
09-08
比较老的防火墙忘记密码,初始化使用 形解说,步骤详细
Juniper防火墙图解L2TP配置.pdf
11-20
Juniper防火墙图解L2TP配置.pdf
防火墙的三种工作模式介绍(路由模式、透明模式(网桥)、混合模式)
a_island的博客
09-26 3万+
防火墙能够工作在三种模式下:路由模式、透明模式、混合模式。 如果防火墙以第三层对外连接(接口具有IP 地址),则认为防火墙工作在路由模式下; 若防火墙通过第二层对外连接(接口无IP 地址),则防火墙工作在透明模式下; 若防火墙同时具有工作在路由模式和透明模式的接口(某些接口具有IP 地址,某些接口无IP 地址),则防火墙工作在混合模式下。 防火墙三种工作模式的简介 1、路由模式 当防火墙位于内部网络和外部网络之间时,需要将防火墙与内部网络、外部网络以及DMZ 三个区域相连的接口分别配置成不同网段的IP 地址
接口与抽象类有哪些区别?
weixin_50102151的博客
09-19 352
我们常说接口,但是接口和抽象类到底又有哪些区别呢,下面我们来总结一下接口与抽象类的区别: 接口的方法默认是 public,所有方法在接口中不能有实现(Java 8 开始接口方法可以有默认实现),抽象类可以有非抽象的方法。 接口中的实例变量默认是 final 类型的,而抽象类中则不一定。 一个类可以实现多个接口,但最多只能实现一个抽象类。 一个类实现接口的话要实现接口的所有方法,而抽象类不一定。 接口不能用 new 实例化,但可以声明,但是必须引用一个实现该接口的对象 从设计层面来说,抽象是对类的抽象,是一
防火墙详解
这是一个爱吃火鸡味锅巴女孩的博客
07-05 5529
53 张详解防火墙的 55 个知识点
防火墙ASPF技术、NAT、接口模式、双机热备
weixin_57507186的博客
04-14 668
(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能 可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。通 过旁观设备的端口镜像技术收集流量给给旁路接口,这个场景防火墙可以做IPS,审计,流量分析等任务,功能是最少的。
防火墙接口模式
qq_46777335的博客
09-11 948
防火墙有多种模式,下面介绍防火墙在不同模式下的工作内容。
防火墙工作模式详解
weixin_73134956的博客
02-16 916
2. 代理工作模式:防火墙网络中充当一个代理服务器的角色,它代表内部网络与外部网络之间进行通信。防火墙会检查和修改流入和流出的数据包,以保护内部网络的安全。3. 网络地址转换(NAT)工作模式:防火墙在内部网络和外部网络之间转换网络地址。通过NAT,内部网络的真实IP地址被隐藏,提高了网络安全性。4. 应用层代理工作模式:防火墙通过代理特定的应用层协议,如HTTP、FTP等,进行过滤和检查。这种模式可以提供更高级的安全性。1. 包过滤工作模式:根据事先确定的规则集合,对进出网络网络包进行过滤和检查。
Windows防火墙与TCP、UDP
m0_67595943的博客
08-05 1008
我们有时候访问电脑的一些系统和下载软件的时候后,提示没有权限。因为我们win10系统的防火墙为识别自动拦截了,想要获得权限,就得暂时关闭掉防火墙,该如何关闭呢?看这里,直接安装无需顾虑微软推送的升级限制。4、随后在打开的窗口中,点击左侧任务栏的“5、这时候就可以根据需要选择“1、首先打开开始菜单,选择“3、在更改网络设置里点击“”了,点击确定即可。...
浅谈防火墙五个域,三种模式
热门推荐
洞若观火
10-11 4万+
五个域: untrust(不信任域) dmz(隔离区) trust(信任域) local(本地)| management(管理) 报文从低级别的安全区域向高级别的安全区域流动时为入方向(Inbound),报文从由高级别的安全区域向低级别的安全区域流动时为出方向(Outbound)。untrust(不信任域): 低级安全区域,安全优先级为5 通常用来定义Internet等不安全的网络,用于...
iptables四表五链图解
10-18
iptables 是 Linux 系统下的一个防火墙工具,它可以通过过滤、转发、修改数据包等方式来控制网络流量。iptables 由四个表和五个链组成,它们分别是: 1. filter 表:用于过滤数据包,是默认的表。 2. nat 表:用于网络地址转换,如端口映射等。 3. mangle 表:用于修改数据包的 TOS、TTL 等信息。 4. raw 表:用于配置连接追踪和数据包状态检测。 五个链分别是: 1. INPUT 链:处理进入本机的数据包。 2. OUTPUT 链:处理从本机发出的数据包。 3. FORWARD 链:处理转发的数据包。 4. PREROUTING 链:在数据包进入路由之前进行处理。 5. POSTROUTING 链:在数据包离开路由之后进行处理。 下面是一个简单的 iptables 四表五链图解: ``` +-----------------------+ | mangle | +-----------------------+ | nat | +-----------------------+ | filter | +-----------------------+ | raw | +-----------------------+ +-----------------------+ | PREROUTING | +-----------------------+ | INPUT | +-----------------------+ | FORWARD | +-----------------------+ | OUTPUT | +-----------------------+ | POSTROUTING | +-----------------------+ ```

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值