「网络安全」安全设备篇(1)——防火墙
什么是防火墙?
防火墙是指设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。它可以通过监测、限制、更改跨越防火墙的数据流,尽可能地对外部屏蔽网络内部的信息、结构和运行状况,以此来实现网络的安全保护。在逻辑上,防火墙是一个分离器,一个限制器,也是一个分析器,有效地监控了内部网和Internet之间的任何活动,保证了内部网络的安全。
防火墙(Firewall),是一种硬件设备或软件系统,主要架设在内部网络和外部网络间,为了防止外界恶意程式对内部系统的破坏,或者阻止内部重要信息向外流出,有双向监督功能。藉由防火墙管理员的设定,可以弹性的调整安全性的等级。
防火墙分类及原理
防火墙总体上分为包过滤、应用级网关和代理服务器等几大类型。包含如下几种核心技术:
1、包过滤技术
包过滤技术是一种简单、有效的安全控制技术,它工作在网络层,通过在网络间相互连接的设备上加载允许、禁止来自某些特定的源地址、目的地址、TCP端口号等规则,对通过设备的数据包进行检查,限制数据包进出内部网络。
包过滤的最大优点是对用户透明,传输性能高。但由于安全控制层次在网络层、传输层,安全控制的力度也只限于源地址、目的地址和端口号,因而只能进行较为初步的安全控制,对于恶意的拥塞攻击、内存覆盖攻击或病毒等高层次的攻击手段,则无能为力。
2、应用代理技术
应用代理防火墙工作在OSI的第七层,它通过检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。
应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。
3、状态检测技术
状态检测防火墙工作在OSI的第二至四层,采用状态检测包过滤的技术,是传统包过滤功能扩展而来。状态检测防火墙在网络层有一个检查引擎截获数据包并抽取出与应用层状态有关的信息,并以此为依据决定对该连接是接受还是拒绝。这种技术提供了高度安全的解决方案,同时具有较好的适应性和扩展性。状态检测防火墙一般也包括一些代理级的服务,它们提供附加的对特定应用程序数据内容的支持。
状态检测防火墙基本保持了简单包过滤防火墙的优点,性能比较好,同时对应用是透明的,在此基础上,对于安全性有了大幅提升。这种防火墙摒弃了简单包过滤防火墙仅仅考察进出网络的数据包,不关心数据包状态的缺点,在防火墙的核心部分建立状态连接表,维护了连接,将进出网络的数据当成一个个的事件来处理。主要特点是由于缺乏对应用层协议的深度检测功能,无法彻底的识别数据包中大量的垃圾邮件、广告以及木马程序等等。
4、完全内容检测技术
完全内容检测技术防火墙综合状态检测与应用代理技术,并在此基础上进一步基于多层检测架构,把防病毒、内容过滤、应用识别等功能整合到防火墙里,其中还包括IPS功能,多单元融为一体,在网络界面对应用层扫描,把防病毒、内容过滤与防火墙结合起来,这体现了网络与信息安全的新思路,(因此也被称为“下一代防火墙技术”)。它在网络边界实施OSI第七层的内容扫描,实现了实时在网络边缘布署病毒防护、内容过滤等应用层服务措施。完全内容检测技术防火墙可以检查整个数据包内容,根据需要建立连接状态表,网络层保护强,应用层控制细等优点,但由于功能集成度高,对产品硬件的要求比较高。
防火墙作用
保护脆弱的服务
通过过滤不安全的服务,Firewall可以极大地提高网络安全和减少子网中主机的风险。例如,Firewall可以禁止NIS、NFS服务通过,Firewall同时可以拒绝源路由和ICMP重定向封包。
控制对系统的访问
Firewall可以提供对系统的访问控制。如允许从外部访问某些主机,同时禁止访问另外的主机。例如,Firewall允许外部访问特定的Mail Server和Web Server。
集中的安全管理
Firewall对企业内部网实现集中的安全管理,在Firewall定义的安全规则可以运行于整个内部网络系统,而无须在内部网每台机器上分别设立安全策略。Firewall可以定义不同的认证方法,而不需要在每台机器上分别安装特定的认证软件。外部用户也只需要经过一次认证即可访问内部网。
增强的保密性
使用Firewall可以阻止攻击者获取攻击网络系统的有用信息,如Figer和DNS。
记录和统计网络利用数据以及非法使用数据
Firewall可以记录和统计通过Firewall的网络通讯,提供关于网络使用的统计数据,并且,Firewall可以提供统计数据,来判断可能的攻击和探测。
策略执行
Firewall提供了制定和执行网络安全策略的手段。未设置Firewall时,网络安全取决于每台主机的用户。
下一篇:「网络安全」安全设备篇(2)——IDS
「网络安全」安全设备篇(1)——防火墙相关推荐
- 「网络安全」安全设备篇(4)——防火墙、IDS、IPS的区别
前面三篇文章,针对防火墙.IDS.IPS做了详细介绍,具体内容这里不再赘述,感兴趣的小伙伴可以去看看哦. 概念不同 防火墙和IPS属于访问控制类产品,而IDS属于审计类产品.我们可以用一个简单的比喻, ...
- 「网络安全」安全设备篇(7)——抗DDOS产品
概述 DDOS攻击随着互联网的快速发展,日益猖獗,从早期的几兆.几十兆,到现在的几十G.几十T的流量攻击,形成了一个很大的利益链.DDOS攻击由于容易实施.难以防范.难以追踪,成为最难解决的网络安全问 ...
- 「网络安全」安全设备篇(3)——IPS
什么是IPS? IPS是英文"Intrusion Prevention Systems"的缩写,中文意思是"入侵防御系统",IPS实现实时检查和阻止入侵. 上文 ...
- 「网络安全」安全设备篇(5)——UTM
什么是UTM? UTM是英文"Unified Threat Management"的缩写,中文意思是"统一威胁管理",业界常称之为安全网关. 统一威胁顾名思义, ...
- 局域网arp攻击_「网络安全」常见攻击篇(23)——ARP攻击
什么是ARP攻击? ARP攻击是利用ARP协议设计时缺乏安全验证漏洞来实现的,通过伪造ARP数据包来窃取合法用户的通信数据,造成影响网络传输速率和盗取用户隐私信息等严重危害. ARP攻击原理 ARP病 ...
- 性能调优之三十六计 —— 「取而代之」Echo/Json 篇
文章目录 性能调优之三十六计 -- 「取而代之」Echo/Json 篇 Echo 高性能.极简框架 C.JSON Json-iterator Q&A 附录 性能调优之三十六计 -- 「取而代之 ...
- 「11」Python实战篇:利用KNN进行电影分类
上一期文章:「10」民主投票法--KNN的秘密 中,我们剖析了KNN算法的本质和特点.局限.这里我们用python代码进行KNN的实现.第1部分是KNN的基础算法步骤,第2部分是一个电影分类的实战项目 ...
- 「网络安全」2020年十大最佳开源防火墙保护您的企业网络
开源防火墙最出名的地方是通过过滤入站和出站流量来保护网络不受威胁,并确保网络安全. 每当我们谈到开源防火墙时,首先映入我们脑海的是"完全免费"."不过,让我来解释一下,开 ...
- 「网络安全」Web防火墙和下一代防火墙的区别
介绍 客户经常询问"当我已经拥有下一代防火墙(NGFW)时,为什么需要Web应用程序防火墙(WAF)?".本博文的目的是解释两种解决方案之间的区别,重点关注Web应用程序防火墙可以 ...
最新文章
- sublime快捷键整理
- 洛谷P1220 关路灯(区间dp)
- 680. Valid Palindrome II
- 华为ensp常用简单命令(二)
- 实现ModelDriver接口的功能(转)
- 架构设计 | 高并发流量削峰,共享资源加锁机制
- oracle delete远程表,用脚本实现表的远程准实时同步
- surface 哪个系列适合java开发,iPad Pro和Surface Pro两大顶级平板该如何选择?
- canvas绘制流程图
- JMeter 如何把上一个请求的结果作为下一个请求的参数 —— 使用正则提取器
- Unity 3D 2022.1 AND UnityHub 3.2 Patch
- 秋天的第一杯奶茶刷屏互联网,其背后又蕴含着哪些营销逻辑呢?
- 巧妙设置XP 家庭或小型办公网络图解
- 计算机用户凭据删除,win8系统如何删除保存的共享凭据(用户名和密码)
- Python数据分析——数据基础
- 如何理解电容电流超前电压90度
- 【解题报告】博弈专场 (CF 2000~2200)前五题
- 国外大神数据,全球主板厂商信息汇总,A B X系在主板汇总
- 记录一些密码学中常用符号
- 教资 2022(上) | 小学科目三- 小学教师资格证面试(教学技巧)考情考点梳理