(簡單解釋下內聯網路和外聯網路
內聯網路類似於區域網是指某個企業或者單位內部互動的網路,外聯網路就是外部的internet)
- 部署在使用者內聯網路和外聯網路之間的一道屏障,一切內外聯網路交換的資料都應該通過防火牆裝置。以預先定義好的安全規則為標準,防火牆將對通過他的資料進行安全監測,符合安全規則的資料流將准予放行,不符合規則的資料流將被阻隔。
- 防火牆系統包括硬體裝置,相關的軟體**和安全策略。
- 廣義上講,防火牆是隔離在內聯網路和外聯網路之間的乙個防禦系統。雙向資料流都將經過防火牆。
重點–>訪問控制策略
控制內聯主機如何訪問外聯網路以及外聯主機如何訪問內聯網路。
具體體現為防火牆的過濾規則。
iso 7層模型
防火牆級別
應用層閘道器級
表示層—
會話層—
傳輸層電路級
網路層路由器級
資料鏈路層
網橋級物理層
中繼器級
理論上講是分離器,限制器和分析器。實現4類控制功能:
1.方向控制:控制特定的服務請求通過它的方向
2.服務控制:控制使用者可以訪問的網路服務型別。
3.行為控制:控制使用特定服務的方式。
4.使用者控制:控制可以進行網路訪問的使用者。(較複雜,涉及到報文中的資料部分)
 各層網路協議的頭部字段以及通過字段分析得到的鏈結狀態等內容都可以作為過濾技術考察的引數。動態包過濾—狀態檢測技術。
2.**(proxy) 將使用者的請求變成由防火牆**,外聯網路看不到內聯網路的結構,也就無法訪問內聯網路的主機。**技術可以提供更加深入的過濾,甚至可以理解為應用層的內容,實現複雜且速度較慢。
3.網路位址轉換(network address tranlation)
sample:內聯網路中主機a 向外部網路中ip進行訪問請求,這一請求到達防火牆時,防火牆將請求中的源ip位址轉換成它可以利用的乙個公共ip位址,之後將變動後的請求發往目的地。當外部主機返回請求時,將目的位址進行轉化,轉換成主機a的位址,之後將資料發給主機a;
4.虛擬專用網(virtual private network,vpn)
5.使用者身份認證(authentication)
6.記錄報警,分析和審計 生成防火牆日誌
7.管理功能
防火牆的規則可以告訴防火牆哪些型別的通訊量可以進出防火牆。所有防火牆都有乙個規則檔案,是其最重要就的配置檔案。
1.拒接訪問一切未經特許的服務–>限制性原則(deny all)–>限制性防火牆 預設阻斷任何不允許的通訊,只允許一些特定的服務通過。
2.允許訪問一切未被特別拒絕的服務–>連貫性原則(allow all)–>連通性防火牆 與法律類似
二者主要區別:deny all是告訴我什麼能做,沒告訴我的都不能做。
allow all 告訴我什麼不能做,沒特別指出不能做的都能做。
規則的順序問題,設計時要慎重對待,因為不同的規則之間可能有包含,交叉甚至是排斥的關係,順序不同可能導致規則的衝突以至造成系統漏洞。
防火牆 防火牆安全
作為計算機的第一道屏障,防火牆的重要性不言而喻,儘管防火牆在面臨網路攻擊時仍有很大的缺陷,不如無法阻止自內而外的攻擊,對複雜多變的網路攻擊攻擊無法預警和像ids所做的那樣。但防火牆依然是伺服器乃至個人機的一道不可或缺的屏障。木桶原理 本文將對防火牆做乙個初步的簡介,顯然像我們知道的那樣,防火牆是一款...
外圍防火牆規則 內部防火牆規則
外圍防火牆規則 通常情況下,您的外圍防火牆需要以預設的形式或者通過配置來實現下列規則 拒絕所有通訊,除非顯式允許的通訊。阻止宣告具有內部或者外圍網路源位址的外來資料報。阻止宣告具有外部源 ip 位址的外出資料報 通訊應該只源自堡壘主機 允許從 dns 解析程式到 internet 上的dns 伺服器...
透明防火牆才是純粹的防火牆
早在上大學時就有乙個疑問,為什麼防火牆看起來像是一台路由器,為了引入乙個防火牆,你起碼要多申請2個ip位址,還要配置複雜的路由保證通路,為了上述保證,你不得不重新規劃你的網路,最最麻煩的就是為你的那個防火牆分配的那個ip位址,該位址可能會成為攻擊者進入內部網的入口。到底是誰在保護誰啊?真正意義的純粹...