一.防火牆的基本概念
定義:是一款具備安全防護功能網路裝置
隔離網路:將需要保護的網路與不可信任網路進行隔離,隱藏資訊並進行安全防護
二.防火牆的基本功能
訪問控制攻擊防護冗餘設計路由、交換日誌記錄虛擬專網vpnnat
三.防火牆產品及廠家
防火牆產品:h3c u200系列
四.區域隔離
防火牆區域概念: 內部區域
dmz區域:稱為」隔離區」,也稱」非軍事化區/停火區」
外部區域
五.防火牆的分類
按防火牆形態:軟體防火牆
硬體防火牆
按技術實現:包過濾防火牆
狀態檢測包過濾防火牆
應用(**)防火牆
waf防火牆
應用層防火牆
六.防火牆的發展歷史
包過濾防火牆(分組過濾防火牆)
最早的防火牆技術之一,功能簡單,配置複雜
根據分組包的源、目的位址,埠號及協議型別,標誌位確定是否允許分組包通過。
所根據的資訊**於ip、icmp、tcp、udp等協議的資料報頭
優點:高效、透明缺點:對管理員要求高、處理資訊能力有限
狀態檢測包過濾防火牆
現在主流防火牆,速度快,配置方便,功能較多
從傳統包過濾發展而來,除了包過濾檢測的特性外,對網路連線設定狀態特性加以檢測
優點:減少檢查工作量,提高效率 連線狀態可以簡化規則的設定
缺點:對應用層檢查不夠深入
應用(**)防火牆最早的防火牆技術之二,連線效率低,速度慢
優點:安全性高,檢測內容缺點:連線性差,可伸縮性差
dpi防火牆(deep packet inspection)
未來防火牆的發展方向,能夠高速的對第七層資料進行檢測
七.防火牆的工作模式及部署型別標準應用:
1.透明模式
一般用於使用者網路已經建設完畢,網路功能基本已經實現的情況下,使用者需要加裝防火牆以實現安全區域隔離的要求
路由模型
路由/nat模式一般用於防火牆當作路由器和nat裝置連線上網的同時,提高安全過濾功能
混雜模型
一般網路情況為透明模式和路由模式的混合
八.衡量防火牆效能的5大指標
吞吐量:在不丟包的情況下單位時間內通過的資料報數量
時延:資料報第乙個位元進入防火牆到隨後乙個位元從防火牆輸出的時間間隔
丟包率:通過防火牆時所丟失資料報數量佔所傳送資料報的比率
併發連線數:防火牆能夠同時處理的點對點連線的最大數目
5.新建連線數:在不丟包的情況下每秒可以建立的最大連線數
網路安全 防火牆系統
支援透明 路由和混合三種工作模式。支援基於物件的網路訪問控制,包括網路層 應zz用層等多層次的訪問控制 支援url 指令碼 關鍵字 郵件等多種形式的內容過濾。支援多種網路位址轉換 nat 方式。支援多種認證方式,如本地認證 證書認證 radius認證 tacacs securld ldap 域認證等...
網路安全筆記之防火牆
lesson5 防火牆 u 防火牆可在鏈路層 網路層 應用層上實現隔離。可以基於物理的,基於邏輯的 防火牆可以用於內部網路不通的安全域之間 防火牆是被動防禦裝置。預先設定策略。u 防火牆的功能 網路安全的屏障 過濾不安全的服務 內部提供的不安全符合和內部訪問外部的不安全服務 隔斷特定的網路攻擊 聯動...
網路安全 硬體防火牆ASA
狀態防火牆 英語 stateful firewall 一種能夠提供狀態資料報檢查 stateful packet inspection,縮寫為spi 或狀態檢視 stateful inspection 功能的防火牆,能夠持續追蹤穿過這個防火牆的各種網路連線 例如tcp與udp連線 的狀態。這種防火牆...