本文详细介绍了防火墙的基本概念,包括其作为网络隔离和流量过滤设备的角色。状态防火墙的工作原理通过会话追踪技术实现高速、精细化的包过滤。防火墙处理双通道协议时,利用ASPF技术动态建立server-map表。NAT(网络地址转换)的处理流程确保内网与外网通信的顺畅。此外,还探讨了包过滤、代理和状态防火墙的分类,并提供了一系列防火墙配置实验,包括全网可达、内网访问外网等场景的配置示例。
目录
一、什么是防火墙?
- 防火墙(英语:Firewall)技术是通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息安全性的一种技术。
二、状态防火墙工作原理
- 会话追踪技术---三层、四层
- 在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。
- 会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
- 首包机制
- 细颗粒度
- 速度快
三、防火墙如何处理双通道协议
- 使用ASPF技术,查看协商端口号并动态建立server-map表放行协商通道的数据
- ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息并根据应用层信息放开相应的访问规则,开启ASPF功能后,FW通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的Server-map表,用于放行后续建立数据通道的报文,相当于自动创建了一条精细的“安全策略”。
四、防火墙如何处理nat?
如果内网的主机想要与外网的主机进行通信,那么防火墙的安全策略就必须放行内网主机的IP,如果外网主机想要与内网服务器进行通信就必须放行内网的服务器IP
- NAT对报文的处理流程
最低0.47元/天 解锁文章
扫一扫
366
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
