通用网络安全装备之【防火墙】
概念:防火墙(Firewall),也称防护墙,它是一种位于内部网络与外部网络之间的网络安全防护系统,是一种隔离技术,答应或是限制传输的数据通过。
基于 TCP/IP 协议,主要分为主机型防火墙和网络型防火墙,防火墙规则通常依据 IP addresses、Domain names、Protocols、Programs、Port 等制定,这样就能过滤掉一些来自 Internet 上的黑客攻击、木马病毒侵入风险,它能答应你“同意”的人和数据进入你的网络,同时将你“差别意”的人和数据拒之门外。换句话说,假如不通过防火墙,公司内部的人就无法访问 Internet,Internet 上的人也无法和公司内部的人进行通讯。
用通讯语言来界说,防火墙主要用于掩护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,详细如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
从实现的方式来看,防火墙可以分为硬件防火墙和软件防火墙。硬件防火墙是通过硬件与软件的结合来达到隔离内外部网络的目的,而软件防火墙则是通过纯软件的方式来实现。
https://img-blog.csdnimg.cn/img_convert/01997c8afc6f1219cdf4274bac1e1f73.png
LAN(Local Area Network)局域网,WAN(Wide Area Network)广域网
https://img-blog.csdnimg.cn/img_convert/6463be0fed9937493feec750ea53c538.png
https://img-blog.csdnimg.cn/img_convert/f9c5cbe3ccd9047916d3abb2d28f8f70.png
防火墙的作用:
防火墙能够隔离风险区域和安全区域,但不会妨碍人们对风险区域的访问。从总体上看,防火墙应该具有以下基本功能:
1.限制未授权用户进入内部网络,过滤掉不安全的服务和非法用户。
2.防止入侵者靠近内部网络的防御设施,对网络攻击进行检测和报警。
3.限制内部用户访问特殊站点。
4.记录通过防火墙的信息内容和活动。
防火墙的部署位置:
(1)可信网络与不可信网络之间
(2)差别安全级别网络之间
(3)两个需要隔离的区域之间
https://img-blog.csdnimg.cn/img_convert/94276747318cf4e8166cb2aadef06aa9.png
原文链接:https://blog.51cto.com/u_15200479/4065717
防火墙的技术特点:
而一个好的防火墙系统应该具备以下特性:
1.所有在内部网络和外部网络之间传输的数据都必须颠末防火墙。
2.只有被授权的合法数据即安全计谋答应的数据才答应通过防火墙。
3.防火墙自己具有防备入侵的功能,不受各种攻击的影响。
4.人机交互界面精良,用户设置方便、易管理。
防火墙的分类:
(1)网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。我们可以以枚举的方式,只答应符合特定规则的封包通过,别的的一概克制穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员界说或修改,不过某些防火墙装备大概只能套用内置的规则。我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。
(2)应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用欣赏器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,而且封锁其=他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受掩护的机器里。防火墙借由监测所有的封包并找出不符规则的内容,可以防范电脑蠕虫或是木马程序的快速蔓延。根据偏重差别,可分为:包过滤型防火墙、应用层网关型防火墙、服务器型防火墙。
(3)数据库防火墙
数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于自动防御机制,实现数据库的访问行为控制、危险操纵阻断、可疑行为审计。数据库防火墙通过SQL协议分析,根据预界说的克制和答应计谋让合法的SQL操纵通过,阻断非法违规操纵,形成数据库的外围防御圈,实现SQL危险操纵的自动防备、实时审计。数据库防火墙面对来自于外部的入侵行为,提供SQL注入克制和数据库虚拟补丁包功能。
防火墙的局限性:
[*]防火墙不能阻止那些绕过防火墙的攻击:
[*]防火墙不能完全防止内部威胁;
[*]一个安全性不当的无线局域网大概会受到来自该系统外的访问;
[*]条记本电脑等装备大概会被使用中的网络外部使用、感染,然后再被接入到内网并被使用;
防火墙虽然是掩护网络安全的根本性设施,但是它还存在着一些不易防范的安全威胁:首先防火墙不能防范未颠末防火墙或绕过防火墙的攻击。比方,假如答应从受掩护的网络内部向外拨号,一些用户就大概形成与 Internet 的直接连接。防火墙基于数据包包头信息的检测阻断方式,主要对主机提供或请求的服务进行访问控制,无法阻断通过开放端口流入的有害流量,并不是对蠕虫大概黑客攻击的解决方案。别的,防火墙很难防范来自于网络内部的攻击或滥用。
防火墙的载体:
防火墙可安装在一台独立的运行操纵系统的机器上;防火墙功能也可作为一个软件模块在一个路由器或局域网开关中实现。
堡垒主机:集中了整个网络的安全题目,两个网卡对接两个网络,最容易被攻击,也最需要完善的掩护步伐;
主机防火墙:掩护个人主机的软件模块;
个人防火墙:防止未经认证的远程接入计算机;
防火墙接入方式:
1、透明接入:不消设置IP所在,内部网络主机的设置不消调整;
2、路由接入:相当于简朴的路由器;
3、混合模式:透明接入和路由接入混合。
=============================================================================================================================
防火墙和堡垒机的三大区别:
1、性子差别
防火墙是私有网络与公网之间的门卫,而堡垒机是内部运维职员与私网之间的门卫。防火墙墙所起的作用是隔断,无论谁都过不去,但是堡垒机就不一样了,他的职能是检查和判定是否可以通过,只要符合条件就可以通过,堡垒机更加灵活一些。
2、作用差别
防火墙的作用是隔断两者之间的联系,无论任何资源都无法访问过去,而堡垒机的作用是检查、判定是否可以通过,只要符合条件就可以通过,相对于来说堡垒机更加灵活一些。
3、寄义差别
防火墙是指网络防火墙,链接计算机与它所链接网络之间的软件。计算机所有的收支网络通讯都要颠末网络防火墙。堡垒机是针对内部运维职员的运维安全审计系统,堡垒机的作用是对运维职员的运维操纵进行安全审计与权限控制,同时堡垒机还有很好的账号管理功能。
===================================================================================================================
防火墙与路由器、互换机的区别:
“路由器”用来连接差别的网络,通过路由协议保证互联互通,确保将报文转发到目的地;
“互换机”则通常用来组建局域网,作为局域网通讯的重要枢纽,通过二层/三层互换快速转发报文;
而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与互换机的本质是转发,防火墙的本质是控制。
现阶段中低端路由器与防火墙有合一趋势,主要也是因为二者相互功能兼具,变成all in one的目标,华为也发布了一系列中低端装备。
https://img-blog.csdnimg.cn/img_convert/493ac2a7eb7c4847b5a101aedbbfdcf5.png
https://img-blog.csdnimg.cn/img_convert/e0765f16b23b5d42b0b38b8072034f89.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]