防火墙原理

温馨提示:

本文最后更新于2021年12月28日,已超过180天没有更新,若内容或图片失效,请留言反馈。

防火墙的概述

防火墙的定义

防火墙是一款具备安全防护功能的网络设备。

防火墙形态

软件防火墙:360、瑞星等等
硬件防火墙

防火墙主要作用

作用:隔离区域/网络隔离/区域隔离
区域隔离:将需要保护的网络与不可信任的网络隔离,对内部信息进行安全防护!

防火墙与路由器得根本区别:

1、具有基本得防御能力(2-4层,NGFW2-5)
2、路由器配通路由,全网互通! 防火墙配通路由,默认全部禁止通过

防火墙的基本功能

  • 区域隔离
  • 策略/访问控制ACL
  • 攻击防护(DDOS)(重心是防止基于2,3,4层得攻击)
  • 冗余设计
  • 日志记录
  • 路由、交换
  • VPN
  • NAT(源转换=PAT、目标转换==端口映射)

防火墙的区域隔离

防火墙的区域概念

一般防火墙将网络分为3个区域:
信任区域:Trust / Inside
DMZ区域:隔离区,也称为非军事化区域/停火区
非信任区域:Untrust / Outside

防火墙原理

区域间通信

默认情况下,区域间通信是完全被屏蔽!
区域间需要写策略,才能放行数据!而且是有放行方向的!

如何写策略

一般都会采用如何几个策略:
1、inside -- to -- outside : 全部放行
2、inside -- to -- DMZ :全部放行
3、DMZ -- to -- Outside :全部放行
结果:高区域可以访问低区域,低区域不能访问高区域

为什么设置DMZ区域?

当公司有需要对外发布服务器的时候,将服务器放置到DMZ区域、并写放行策略:outside -- to --
DMZ,一旦DMZ区域被敌人攻破,由于DMZ区域为隔离区域,不会进一步殃及破坏inside区域,所以设置DMZ区域是为了保护inside区域。

路由器和防火墙的区别

路由器:配置好IP和路由,默认全网互通!
防火墙:配置好IP和路由,区域间完全被隔离,禁止通信!·3
三、防火墙的历史发展和分类
包过滤防火墙(早期的防火墙)
应用代理防火墙(早期的防火墙)proxy
状态检测防火墙(目前主流防火墙)(2-4层)
高级应用防火墙(NGFW防火墙/DPI防火墙)(目前主流防火墙)(2-5层,2-7层)

包过滤防火墙(早期的防火墙)

只能基于IP与端口号对数据进行过滤、不能对应用层数据做过滤
不够智能,外网回来的包,不能识别是回包,还是主动发的包!

代理防火墙

特点:可以基于应用层对数据过滤,所谓代理很麻烦,大大降低网络通信效率!

状态检测防火墙

主流防火墙,智能的检测回包机制!早期的状态检测防火墙依然只能对2/3/4层过滤
状态检测防火墙数据处理流程图:
防火墙原理

高级应用防火墙

高级应用防火墙DPI防火墙Deep Packet Inspection
在状态检测防火墙的基础上,增加了应用层数据深度检测模块
未来的一个发展方向!能够高速高效的对应用层数据进行过滤!

防火墙的工作模式与部署位置

路由模式

路由模式:防火墙的端口设置为3层端口,防火墙工作在三层路由器模式
路由模式防火墙可以改变网络结构!
一般路由模式的防火墙部署在公司总出口
防火墙原理

透明模式

透明模式:防火墙的端口设置为2层端口,防火墙工作在二层交换机模式
透明模式防火墙不会改变网络结构!
一般透明模式的防火墙部署在内部链路上,来保护整个内部或者局部设备!
默认eth0端口厂家已经配置好IP了,且IP是:192.168.1.254/24
同时eth0端口默认也开启了443端口,一般伪装成8080
然后打开IE或者chrome浏览器,输入: https://192.168.1.254:8080
用户名:superman
密码:talent
防火墙原理

混杂模式

防火墙原理


标签:暂无标签
版权属于:阿七 所有,采用《知识共享署名许可协议》进行许可,转载请注明文章来源。

本文链接: https://blog.076w.cn/index.php/archives/36

赞 (4)

评论区

发表评论

字数
0
/100
29+6=?

暂无评论,要不来一发?

回到顶部