防火牆(firewall),也稱防護牆,是由check point創立者gil shwed於2023年發明並引入國際網際網路(us5606668(a)1993-12-15)。它是一種位於內部網路與外部網路之間的網路安全系統。一項資訊保安的防護系統,依照特定的規則,允許或是限制傳輸的資料通過。
防火牆具有很好的保護作用。入侵者必須首先穿越防火牆的安全線,才能接觸計算機。防火牆可以被配置成許多不同的保護級別。高階的保護可能會禁止一些服務。
網路層防火牆
網路層防火牆[3]可視為一種 ip 封包過濾器(允許或拒絕封包資料通過的軟硬結合裝置),運作在底層的 tcp/ip 協議堆疊上。我們可以以列舉的方式,只允許符合特定規則的封包通過,其餘的一概禁止穿越防火牆(病毒除外,防火牆不能防止病毒侵入)。這些規則通常可以經由管理員定義或修改,不過某些防火牆裝置可能只能套用內建的規則。
我們也能以另一種較寬鬆的角度來制定防火牆規則,只要封包不符合任何一項「否定規則」就予以放行。現在的作業系統及網路裝置大多已內建防火牆功能。
較新的防火牆能利用封包的多樣屬性來進行過濾,例如:** ip 位址、**埠號、目的 ip 位址或埠號、服務型別(如 www 或是 ftp)。也能經由通訊協議、ttl 值、**的網域名稱或網段…等屬性來進行過濾。
應用層防火牆
應用層防火牆是在 tcp/ip 堆疊的「應用層」上運作,您使用瀏覽器時所產生的資料流或是使用 ftp 時的資料流都是屬於這一層。應用層防火牆可以攔截進出某應用程式的所有封包,並且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火牆可以完全阻絕外部的資料流進到受保護的機器裡。
防火牆藉由監測所有的封包並找出不符規則的內容,可以防範電腦蠕蟲或是木馬程式的快速蔓延。不過就實現而言,這個方法既煩且雜(軟體有千千百百種啊),所以大部分的防火牆都不會考慮以這種方法設計。
xml 防火牆是一種新型態的應用層防火牆。
根據側重不同,可分為:包過濾型防火牆、應用層閘道器型防火牆、伺服器型防火牆。
策略配置與優化
防火牆策略優化與調整是網路維護工作的重要內容,策略是否優化將對裝置執行效能產
生顯著影響。考慮到企業中業務流向複雜、業務種類往往比較多,因此建議在設定策略時盡量
保證統一規劃以提高設定效率,提高可讀性,降低維護難度。
策略配置與維護需要注意地方有:
試執行階段最後一條 策略定義為所有訪問允許並記錄日誌,以便在不影響業務的情況下
找漏補遺;當確定把所有的業務流量都調查清楚並放行後,可將最後-條定義為所有訪問禁止
並記錄8志,以便在試執行階段觀察非法流量行蹤。試執行階段結束後,再將最後一條「禁止
所有訪問」策略刪除。
防火牆按從上至下順序搜尋策略表進行策略匹配,策略順序對連線建立速度會有影響,
建議將流量大的應用和延時敏感應用放於策略表的頂部,將較為特殊的策略定位在不太特殊的
策略上面。
策略配置中的log(記錄日誌)選項可以有效進行記錄、排錯等工作,但啟用此功能會耗用
部分資源。建議在業務量大的網路上有選擇採用,或僅在必要時採用。
簡化的策略表不僅便於維護,而且有助於快速匹配。盡量保持策略表簡潔和簡短,規則
越多越容易犯錯誤。通過定義位址組和服務組可以將多個單一策略合併到一條組合策略中。
策略用於區域間單方向網路訪問控制。如果源區域和目的區域不同,則防火牆在區域間
策略表中執行策略查詢。如果源區域和目的區域相同並啟用區域內阻斷,則防火牆在區域內部
策略表中執行策略查詢。如果在區域間或區域內策略表中沒有找到匹配策略,則安全裝置會檢
查相關區域的預設訪問許可權以查詢匹配策略。
策略變更控制。組織好策略規則後,應寫上注釋並及時更新。注釋可以幫助管理員了解
每條策略的用途,對策略理解得越全面,錯誤配置的可能性就越小。如果防火牆有多個管理員,
建議策略調整時,將變更者、變更具體時間、變更原因加入注釋中,便於後續跟蹤維護。
攻擊防禦
防火牆利用入侵防護功能抵禦網際網路上流行的dos/ddos的攻擊,
些流行的攻擊手法
有synflood, udpflood, smurf, ping of death, land attack等,當網路確實存在這些型別的
攻擊資料流時,我們可以適當開啟這些抗攻擊選項,可以有效的保護各種應用伺服器。如果希
望開啟其它選項,在開啟這些防護功能前有幾個因素需要考慮:
自行開發的一:些應用程式中,可能存在部分不規範的資料報格式;
如果因選擇過多的防攻擊選項而大幅降低了防火牆處理能力,則會影響正常網路處理的
效能;如果自行開發的程式不規範,可能會被ip資料報協議異常的攻擊選項遮蔽;非常規的
網路設計也會出現合法流量被遮蔽問題。
防火牆和系統安全防護和優化
啟動 root izbp1f0xuq9rc815r5u5b0z systemctl start firewalld 關閉 root izbp1f0xuq9rc815r5u5b0z systemctl stop firewalld 檢視狀態 root izbp1f0xuq9rc815r5u5b0z s...
防火牆和系統安全防護和優化
1 firewalld的基本使用 啟動 systemctl start firewalld root instance rrkkmshy systemctl start firewalld關閉 root instance rrkkmshy systemctl stop firewalld 檢視狀態 ...
防火牆和系統安全防護和優化
rhel7的防火牆體系 預設安全區域 防火牆的判斷規則 匹配及停止 預設區域的案例 常見的協議 服務案例 防火牆策略永久配置 防火牆對於客戶端源ip控制 隔離作用 允許出站,過濾入站 系統服務 firewalld 管理工具 firewall cmd firewall config 圖形 根據所在的網...