防火墙——防火墙基础知识
目录
基本概念
分类
防火墙基本信息
防火墙接口工作模式
防火墙安全区域
区域类型
注意事项
安全策略
安全策略组成
安全策略的配置
安全策略匹配规则
注意事项
状态检测机制与会话表
状态检测
会话表
会话表信息
会话老化
长连接
会话在转发流程中的位置
基本概念
防火墙一般位于多个信任不同的网络之间,对其之间的通信进行控制,来防止网络威胁
分类
防火墙按照形态可以分为
- 硬件防火墙(一般用于企业出口,保护整个内网)
- 软件防火墙(往往只是保护自己,例如360等)
按照访问控制方式分为
- 包过滤防火墙:在网络层对每个数据包进行匹配(无法关联数据包之间的关系、无法适应多通道协议、通常不检测应用层数据)
- 代理防火墙:作用于应用层,外部网络用户之间进行的业务由代理完成(处理速度慢、升级困难)
- 状态检测防火墙:包过滤技术的扩展,考虑数据包之间的关联性,可以检查应用层数据(处理后续包的速度快,安全性高)
防火墙基本信息
以下介绍的是华为状态检测防火墙的基本信息
防火墙接口工作模式
路由模式(类似于路由器):每个接口都可以配置IP地址—支持更多的安全特性,对网络拓扑有影响
透明模式(类似于二层交换机):每个接口都不可以配置IP地址—对网络拓扑没有影响
混合模式(类似于三层交换机):部分接口可以配置IP地址
防火墙安全区域
防火墙将不同信任度的网络通过安全区域来进行划分,并且大部分的安全策略都是通过安全区域进行实施的。
一个安全区域是若干个接口所连网络的集合
区域类型
默认情况下,不同区域见会触发安全检测,同一安全区域间不会触发安全检测
Local区域,优先级100——Local区域不可以添加任何接口。防火墙自身接口都属于Local区域
Trust区域,优先级85
Dmz区域,优先级50
Untrust区域,优先级5
注意事项
- 一个接口只可以属于一个安全区域、一个安全区域可以包含多个接口。
- 不同的安全区域有不同的优先级,并且优先级全局唯一。
- 优先级的范围为1到100(最多创建100个安全区域),数字越大,优先级越高,信任度也就越高。
- 由高优先级到低优先级为出方向,由低优先级到高优先级为入方向
安全策略
安全策略是FW的核心特性,通过对FW的数据流进行检验,只有符合安全策略的合法流量才可以通过FW进行转发。
安全策略组成
安全策略是由匹配条件(五元组、用户、时间、安全区域等)和动作组成。
流量匹配安全策略的匹配条件后,设备将会执行安全策略的动作。
默认策略是区域之间的报文都禁止通过。
安全策略的配置
对于同一条数据流,只需要在访问的发起方向配置安全策略就可以,匹配安全策略成功后建立会话表。回来的报文不需要额外的策略(通过会话表控制)
安全策略匹配规则
当配置了多条安全策略时,按照排列的顺序进行匹配,顺序越高,优先级越高。
匹配成功后不会再进行下一个策略的匹配。当没有匹配到任何策略时就按照缺省策略进行处理。
注意事项
- 缺省情况下,安全策略仅对单播报文进行控制,对广播和组播报文不做控制,直接转发。
- 多通道协议在配置ASPF功能后,FW对数据通道的报文不进行安全策略过滤
- 当认证策略的认证动作配置为Portal认证,用户向Web服务器发起HTTP/HTTPS请求时,Syn首包不受安全策略控制。
状态检测机制与会话表
状态检测
FW通过状态检测功能来对报文的链路状态进行合法性检查,丢弃链路状态不合法的报文。状态检测功能不仅检测普通报文,也对内层报文(VPN报文解封装后的报文)进行检测。
状态检测为通过的首包建立会话表,当收到回应的包时会先去匹配会话表,不会再去对后续包一一控制了(即只需要做单向控制)
会话表
会话表是用来记录TCP、UDP、ICMP等协议连接状态的表项,是FW转发报文的重要依据
会话表信息
七元组信息(源目IP、源目端口、协议、用户、应用)
当会话表中的下一跳为FW的环回接口的情况下,下一跳MAC地址为全0
会话老化
对于一个已经建立的会话表项,他不会一直存在。只有当他再一段时间内被匹配了才有必要存在。如果在此时间内没有被匹配,则会话表就会被删除。
不同的协议不同会话老化时间不同(DNS为3s)
长连接
由于某些特殊业务数据流的会话信息需要长时间不老化,此时需要配置长连接来保证此类业务不被老化。
注:
最大长连接会话数量为会话规格总数的1/3
长连接设置的老化时间不受全局会话表老化时间影响
会话在转发流程中的位置
防火墙——防火墙基础知识相关推荐
- 防火墙的基础知识——第一天
什么是防火墙? 官方一点就是: 防火墙只要是借助硬件和软件的作用与内部和外部网络的环境间产生的一种保护的屏障,从而实现对计算机不安全网络因素的阻断. 通俗一点就是: 防火墙组织或隔离威胁计算机的东风西 ...
- 防火墙的基础知识入门
文章目录 防火墙 基于实现方式,防火墙的发展分为四个阶段: Linux 环境中主要的防火墙形式 TCP wrappers~~详解~~ 粗解 Tcp wrappers的认识 它的基本过程是这样的: ip ...
- 1、防火墙的基础知识
1.1.防火墙的概念 一种网络安全设备,通过各种配置,拒绝非授权的访问,保护网络安全. 通过访问控制.身份验证.数据加密.VPN技术等安全功能,形成一个进出屏障. 1.2.防火墙的发展历史 主要经历了 ...
- 防火墙的基础知识(会话表)
基本理解 防火墙的作用:隔离内外网 防火墙是什么:指(在遭受入侵时)隔离内外网的设备或者做内外网隔离的策略 历史进程: 黑客:伪造ip,伪造端口号,破解acl和nat(利用nat映射表) 安全:利用T ...
- linux防火墙知识,Iptables防火墙 基础知识
Iptables防火墙 基础知识 1 位置 使用vim /usr/sysconfig/iptables 2 启动.关闭.保存 service iptables stop service iptable ...
- 什么是防火墙?防火墙基础知识讲解
什么是防火墙?防火墙基础知识讲解 - 云+社区 - 腾讯云 什么是防火墙 防火墙也被称为防护墙,它是一种位于内部网络与外部网络之间的网络安全系统,可以将内部网络和外部网络隔离.通常,防火墙可以保护内 ...
- 代理服务器基础知识介绍及防火墙知识普及
代理服务器基础知识介绍及防火墙知识普及 2004-10-17 作者:佚名 来源:诗凌工作室 代理服务器基础知识介绍: Internet大家已经不在陌生,现在已经迈进了广大工薪阶层的家庭. ...
- 网络安全技术 —— 防火墙技术基础
点击上方"蓝字"关注我们吧 什么是防火墙 防火墙在计算机术语中是一种用来隔离两个或多个网络的软硬件一体的网络设备.它位于多个网络的连接处,如本地网与广域网的连接处等网络位置,通过安 ...
- linux关于防火墙的一些知识
linux关于防火墙的一些知识 1.查看防火墙状态 systemctl status firewalld 2.如果不是显示active状态,需要打开防火墙 systemctl start firewa ...
- 别再小看硬件防火墙了!一些关于防火墙的小知识。
文章目录 1. 什么是防火墙? 2. 状态防火墙工作原理? 3. 防火墙如何处理双通道协议? 4. 防火墙如何处理nat? 5. 有那些防火墙?以及防火墙的技术分类? 1. 什么是防火墙? 防火墙是是 ...
最新文章
- 奇葩问题解决-----解决异常情况下的黑屏
- pip install lxml 总是失败
- Python_位_成员_身份运算符
- three ways for reducing the level of anxiety
- 关于C语言野指针的问题
- Pycharm -- RuntimeWarning: Parent module '...' not found while handling absolute import
- 人工智能火爆,入门却太难了!
- NoSQL数据库探讨- 为什么要用非关系数据库?
- 安装Python3.5后,pip报错Fatal error in launcher: Unable to create process using ‘“‘解决方案
- Makefile、.mk、.bp、Blueprint、Soong、kati工具链的关系
- iOS关于iPhone6和iPhone6 Plus的屏幕适配问题
- 转行程序员深漂的这三年 #2
- html 实现商品添加减少,jq实现点击增加或者减少商品数量并且自动计算总价格...
- 【业余无线电BI1FKP】万里通UV5F-Plus写频、自制写频线
- mysql 外键约束失败_MYSQL:错误:无法添加或更新子行:外键约束失败
- html 字体居中 font,CSS字体(font)
- 虚拟机做dcs服务器,虚拟机技术的DCS仿真 - 机械设计 - 电子发烧友网
- 台风中直击流星雨——《一起来看流星雨》速评
- 易语言 图片插入超级列表框_科技资讯:在PPT文档中如何将一张图片做成九宫格效果...
- zemax---GEO Radius and RMS Radius