設計輸入
防火牆檢查傳入 ip 資料報並且阻止那些它檢測為入侵性質的資料報。可以通過在預設情況下將某些資料報標識為非法的來完成某些阻擋。或者,也可以將防火牆配置為阻止某些資料報。tcp/ip 協議是許多年前設計的,沒有考慮到任何有關竊取或入侵的因素,並且有許多弱點。例如,icmp 協議設計為 tcp/ip 內的乙個訊號機制,但是這很容易導致濫用,並且可能導致諸如拒絕服務攻擊等問題。內部防火牆比外圍防火牆具有更嚴格的要求。這是因為內部通訊的合法目的地可能是內部網路中的任何伺服器,因而更難控制。
有許多種型別的防火牆,在一定程度上是按**區分的,但是也可以按功能和效能區分。通常,防火牆的**越貴,能力和功能越好。在本模組的稍後部分中將這些防火牆分組成各個類別以進行區分,但是在選擇防火牆之前,您需要確定您的要求是什麼。應該考慮下列注意事項:
預算
現有裝置
可用性
可伸縮性
所需的功能
預算
什麼是可用的預算?環境中的每個防火牆應該在保持經濟、有效的同時提供盡可能高階別的服務,但是如果防火牆過分受成本限制,應注意這可能會對企業造成潛在的損失。請考慮組織在服務因遭受拒絕服務攻擊而被中斷時的停機時間成本。
現有裝置
有可以用來節約成本的現有裝置嗎?環境中可能有可以重新利用的防火牆和可以安裝防火牆功能集的路由器。
可用性
您的組織需要防火牆在所有的時間都可用嗎?如果要提供乙個持續可用的公用 web 伺服器裝置,那麼您將需要幾乎 100% 的執行時間。任何防火牆,總會有發生故障的可能性,那麼如何減輕失敗呢?防火牆的可用性可以通過兩種方法來改進:
冗餘元件
為某些很可能發生故障的元件(如電源)配置備用系統,這可以改進防火牆的適應性,這是因為如果第乙個元件發生故障,不會對運營造成任何影響。低成本防火牆通常不能有任何冗餘選項,因為新增適應性成本高昂,特別是它通常不會提高處理能力。
備用裝置
為防火牆裝置配置備用系統可以提供乙個具有完全適應性的系統,但這同樣需要相當高的成本,因為還需要完全相同的另一套網路線路,以及防火牆所連線到的路由器或交換機中另一套備用的連線。但是,它的好處是可能會倍增吞吐量,具體取決於防火牆。在理論上,從最小到最大的所有防火牆都可以進行複製,但是實際上還需要乙個軟體轉換機制(在較小的防火牆中可能不存在)。
可伸縮性
防火牆的吞吐量要求是什麼?吞吐量可以按每秒傳輸的位數和每秒傳輸的資料報數進行計算。如果是新的業務,可能無法知道吞吐率,但如果業務成功,則 inter*** 的吞吐量可能會迅速提公升。可以如何處理增長?必須選擇一種在吞吐量增加時可以同比例提高功能的防火牆解決方案。防火牆可以通過增加更多的元件來增大,或者,可以並行地安裝另乙個防火牆嗎?
所需的功能
需要哪一種防火牆功能?基於對組織中所提供的服務所做的風險評估,您可以確定需要哪些型別的防火牆功能來保護提供服務的資產。需要 vpn(虛擬專有網路)嗎(如果此因素影響設計)?
什麼是防火牆?防火牆的設計主要有哪些型別?
防火牆 一種位於內部網路與外部網路之間的網路安全系統。所謂防火牆指的是乙個由軟體和硬體組合而成,在內部網和外部網之間,專用網與公共網之間的介面上構造的保護屏障。是一種獲取安全性方法的形象說法,它是一種計算機硬體和軟體的結合,使internet與intrane 內聯網 之間建立起乙個安全閘道器 sec...
對特定的埠防火牆設定教程
在一次rbd mirror測試中需要將ceph2集群與ceph1集群進行網路隔離。由於這些伺服器都在同乙個網段中,對於網路不是很熟悉,請教了一下別人才知道可以對特定伺服器特定的埠設定防火牆。特此記錄如下 設定集群1對集群2的ip的防火牆 iptables a input s 10.10.1.7 p ...
網路安全的專家 防火牆!!續
主要型別 網路層防火牆 網路層防火牆可視為一種 ip 封包過濾器,運作在底層的tcp ip協議堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆 病毒除外,防火牆不能防止病毒侵入 這些規則通常可以經由管理員定義或修改,不過某些防火牆裝置可能只能套用內建的規則。我們也...