防火墙概述

1、防火墙

防火墙顾名思义就是防止火灾发生时,火势烧到其它区域,使用由防火材料砌的墙。在网络安全中,防火墙的作用就是保护本地网络不受到外部网络或恶意程序的伤害。

防火墙的核心任务是控制和防护,即通过安全策略识别流量并做出相应的动作

 信息安全的五要素:

  1. 保密性--confidentiality
  2. 完整性--integrity
  3. 可用性--availability
  4. 可控性--controllability
  5. 不可否认性--Non-repudiatiation

 恶意程序一般会具备以下多个或全部特点:
  1. 非法性
  2. 隐蔽性
  3. 潜伏性
  4. 可触发性
  5. 表现性
  6. 破坏性
  7. 传染性
  8. 针对性
  9. 变异性
  10. 不可预见性

1.1 防火墙分类

按物理特性划分:

  1. 软件防火墙
  2. 硬件防火墙

按性能划分:

  1. 百兆级防火墙
  2. 千兆级防火墙
  3. ......

划分标准主要是基于它们的网络性能和吞吐量。

通道带宽越宽,性能越高

吞吐量:单位时间内防火墙处理的数据量

按防火墙结构划分:

  1. 单一主机防火墙
  2. 路由集成防火墙
  3. 分布式防火墙
  4. ......

单一主机防火墙:最为传统的防火墙,独立于其他网络设备,它位于网络边界。单一主机防火墙需要具备非常高的稳定性和系统吞吐性能,因此价格昂贵,只有少数大型企业能够承受得起。

路由集成防火墙:是指将防火墙功能集成在路由器中,以实现对网络流量的监控和过滤。这种集成方式可以提供基本的防火墙功能,如IP地址和端口号的过滤、访问控制等。相比较于单独购买防火墙设备,集成在路由器中的防火墙更为经济实惠且易于管理。路由集成防火墙通常支持动态数据包过滤、静态数据包过滤、NAT和虚拟专用网络等功能。这些功能可以帮助内部网络与外部网络进行安全通信,同时防止未经授权的访问和攻击。需要注意的是,路由集成防火墙的性能和安全性可能不如专业的硬件防火墙。

分布式防火墙:是一种基于主机的安全防护系统,它不同于传统的单一防火墙或路由集成防火墙。分布式防火墙通常由多个软件代理组成,这些代理可以分布在网络中的多个主机上,从而实现对整个网络的保护。具有灵活性高、高性能、易于管理、可扩展性强的特点。需要注意的是,分布式防火墙需要与其他安全措施结合使用,如入侵检测系统(IDS)、入侵防御系统(IPS)等,以提供全面的安全防护。

按防火墙技术划分:

  1. 包过滤防火墙
  2. 应用代理防火墙
  3. 状态监测防火墙
  4. ......

包过滤防火墙:是一种基于网络层的防火墙,它根据预定义的过滤规则对数据包进行过滤,以实现对网络流量的监控和控制。包过滤防火墙通常位于网络边界,对进出的数据包进行过滤,是防火墙的基本形式之一。工作原理为数据包检查、过滤决策和日式记录。它的优点有简单易用、高效性和透明性,但是安全性较低并且灵活性较差

应用代理防火墙:是一种基于应用层的防火墙,它通过对特定应用程序的数据流进行代理,实现对网络流量的监控和控制。应用代理防火墙通常位于网络边界,对进出的应用程序数据流进行代理,是防火墙的一种高级形式。其工作原理是连接请求处理、连接建立、数据转发、过滤决策、日志记录。它的优点是安全性较高、灵活性较高和支持多种协议,但是性能较低且配置复杂。

状态监测防火墙:是一种先进的网络安全设备,它采用了状态监测包过滤的技术,不仅检查数据包的源地址和目标地址,还检查数据包的状态信息,如TCP或UDP端口号、数据包的方向等。工作原理为连接跟踪、数据包过滤。优点有高效性、安全性、灵活性和透明性,但是配置和管理复杂、资源消耗大并且应用层检测有限,对应用层协议的深度检测能力相对较弱,无法防范一些高级工具

1.2 防火墙的发展历程

1.2.1 传统防火墙(包过滤防火墙)

包过滤防火墙可以理解为一个严格的规则表

判断信息:数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)

工作范围:网络层、传输层

技术应用:包过滤技术

优势:对于小型站点容易实现,处理速度快,价格便宜

劣势:规则表很快会变得庞大复杂难运维,只能基于五元组

防火墙的安全策略在进行匹配时,自上向下逐一匹配,匹配上则不再向下匹配,结尾隐含一条拒绝所有的规则

缺点:

  1. 只关注三四层的数据,无法检测应用层,无法充分的识别安全风险
  2. 需要逐包对规则进行匹配,所以效率低,可能会成为网络的瓶颈

当两个数据包的五元组相同时,则这两个数据包为同一数据流

1.2.2 传统防火墙(应用代理防火墙)

特征:为每个应用添加代理

判断信息:所有应用层的信息包

工作范围:应用层

技术应用:应用代理技术

优势:检查了应用层的数据

劣势:检测效率低,配置运维难度极高,可伸缩性差,每一种应用都需要开发对应的代理功能,否则无法代理

1.2.3 传统防火墙(状态检测防火墙)

特征:首次检查建立会话表

判断信息:IP地址、端口号、TCP标记

工作范围:数据链路层、网络层、传输层

技术应用:状态检测技术

优势:主要检查网络层和传输层能够保证效率,对TCP防御较好

劣势:应用层控制较弱,不检查数据区

总结:为弥补包过滤防火墙和应用代理防火墙的缺点,许多防火墙产品将包过滤技术和应用代理技术相结合,以提高防火墙的综合性能。而状态监测防火墙是一种非常有效的网络安全工具,它通过跟踪网络连接状态,能够有效的监控和控制网络流量。它具有高效性、安全性、灵活性和透明性等优点,但也存在一些限制和缺点。在实际应用中,也需要根据网络环境和安全需求综合考虑去选择合适的防火墙产品

1.2.4 入侵检测系统(IDS)

描述:网络摄像头

部署方式:旁路部署,可多点部署

工作范围:2-7层

工作特点:根据部署位置监控到的流量进攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头

目的:传统防火墙只能基于规则执行“是”或“否”的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情

总结:IDS可以发现安全风险并且记录、分析和反馈,但是不会直接处理或消除风险,所以它是一种侧重于风险管理的安全设备,具有一定的滞后性。

NIP是华为的IPS设备,可以将每对接口对视作一台虚拟IPS设备或IDS设备。

1.2.5 入侵防御系统(IPS)

部署方式:串联部署

工作范围:2-7层

工作特点:根据已知的安全威胁生成对应的过滤器(规则),对于识别为流量的阻断,对于未识别的放通

目的:IDS只能对网络环境进行检测,但无法进行防御,而IPS主要是针对已知威胁进行防御

总结:侧重于风险控制的安全设备

1.2.6 防病毒网关(AV)

描述:基于网络层识别病毒文件

工作范围:2-7层

目的:防止病毒文件通过外网进入内网环境

和防火墙的区别:

1.2.7 Web应用防火墙(WAF)

描述:专门用来保护Web应用

判断信息:http协议数据的request和response

工作范围:应用层

目的:防止基于应用层的攻击影响Web应用程序

主要技术原理:

  1. 代理服务:会话双向代理,用户与服务器不产生直接链接,对于DDOS攻击可以抑制
  2. 特征识别:通过正则表达式的特征库进行特征识别
  3. 算法识别:针对攻击方式进行模式化识别,如SQL注入、DDOS、XSS等

1.2.8 统一威胁管理(UTM)

描述:多合一安全网关

部署方式:串联部署

包含功能:FW、IDS、IPS、AV

工作范围:2-7层(但是不具备web应用防护能力)

目的:将多种安全问题通过一台设备解决

优点:功能多合一有效降低了硬件成本、人力成本、时间成本

缺点:模块串联检测效率低,性能消耗大

总结:UTM它的每个功能都不如专业单一的设备,但是由于是多合一,所以综合能力强

1.2.8 下一代防火墙(NGFW)

描述:升级版的UTM

包含功能:FW、IDS、IPS、AV、WAF

工作范围:2-7层

和UTM的区别:

  1. 增加了一个Web应用防护功能
  2. UTM是串行处理机制,NGFW是并行处理机制
  3. NGFW的性能更强,管理更高效

1.3 防火墙的其他功能

  1. 访问控制
  2. 地址转换
  3. 网络环境支持
  4. 带宽管理功能
  5. 入侵检测和攻击防御
  6. 用户认证
  7. 高可用性

1.4 防火墙的组网

“带”可以理解为网络的意思

1.4.1 带内管理

定义:带内管理指的是管理接口与业务接口在同一链路上,即管理口与业务口为同一口。在带内管理中,防火墙的管理流量和业务流量共享相同的网络资源
描述:通过网络管理

方式:Telnet,SSH,web,SNMP

1.4.2 带外管理

定义:带外管理通过不同的物理通道传送管理控制信息和数据信息,两者完全独立,互不影响。这通常意味着使用专门的、独立的接口或链路来进行管理。
描述:不通过网络管理

方式:console,MINI USB

总结:简而言之带内管理和带外管理的区别就是用网络接口进行管理的是带内,使用console接口管理的是带外

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/bicheng/42621.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

前端面试题17(js快速检索方法详解)

在前端JavaScript中,快速检索数据通常涉及到数组或对象的搜索。这里我会介绍几种常见的快速检索方法,并提供相应的代码示例。 1. 数组的find和findIndex方法 find: 返回数组中满足条件的第一个元素的值。findIndex: 返回数组中满足条件的第一个元素的索…

【mindspore进阶】02-ResNet50迁移学习

Mindspore 应用(2)ResNet50迁移学习 在实际应用场景中,由于训练数据集不足,所以很少有人会从头开始训练整个网络。普遍的做法是,在一个非常大的基础数据集上训练得到一个预训练模型,然后使用该模型来初始化…

MongoDB:掌握核心常用命令语句,精通数据操作

标题:MongoDB:掌握核心命令,精通数据操作 前言: MongoDB 是一种非关系型数据库,以文档为中心,使用 JSON 格式的 BSON 来存储数据。它具有高可用性、高性能和易于扩展的特点,被广泛应用于各种规…

Laravel: 优雅构建PHP应用的现代框架

在PHP开发生态中,Laravel是一个广受欢迎的现代Web应用框架。以其优雅、简洁的代码风格和强大的功能著称,Laravel使得开发复杂应用变得简单而高效。本文将带你深入了解Laravel框架的核心特性、优势以及如何开始使用这个框架。 Laravel框架简介 Laravel是…

接口(interface)中定义 `default` 方法

在 Java 8 及以后版本中,接口(interface)中可以定义 default 方法。default 方法允许接口提供一个默认的实现,使得接口不仅仅是方法签名的集合,也可以包含方法的具体实现。这一特性提供了更大的灵活性和向后兼容性。以…

张量分解(2)——张量运算(内积、外积、直积、范数)

🍅 写在前面 👨‍🎓 博主介绍:大家好,这里是hyk写算法了吗,一枚致力于学习算法和人工智能领域的小菜鸟。 🔎个人主页:主页链接(欢迎各位大佬光临指导) ⭐️近…

MATLAB贝叶斯线性回归模型案例

采用辛烷值数据集“spectra_data.mat”(任意数据集均可),介绍贝叶斯线性回归模型的构建和使用流程。 运行结果如下: 训练集预测精度指标如下: 训练集数据的R2为: 1 训练集数据的MAE为: 0.00067884 训练集数据的RMSE为: 0.0008893…

STM32点灯闪烁

stm32c8t6引脚图 开发板引脚图 GPIO端口的每个位可以由软件分别配置成 多种模式。 ─ 输入浮空 ─ 输入上拉 ─ 输入下拉 ─ 模拟输入 ─ 开漏输出 ─ 推挽式输出 ─ 推挽式复用功能 ─ 开漏复用功能 配置GPIO端口步骤:开启时钟->使用结构体设置输出模式…

水仙花数算法

一、水仙花的传说 希腊神话故事 传说希腊神话里,美少年纳西索斯(Narcissus)是希腊最俊美的男子,无数的少女对他一见倾心,可他却自负地拒绝了所有的人。这当中包括美丽的山中仙女伊可(Echo)。伊可…

分享一些提升效率的办公、学习神器!

分享一些提升效率的办公、学习神器! 文章目录 分享一些提升效率的办公、学习神器! 一、 ✅ 文件搜索工具 Everything:1.1 Everything 主要功能:1.2 Everything 下载地址: 二、 ✅ 文件压缩解压工具 7 - Zip&#xff1a…

AI免费英语学习在线工具:Pi;gpt;其他大模型AI 英语学习智能体工具

1、pi(强烈推荐:可以安卓下载使用) https://pi.ai/talk (网络国内使用方便) 支持实时聊天与语音对话 2、chatgpt(强烈推荐:可以安卓下载使用) https://chat.openai.com/ (网络国内使用不方便&#xf…

2028年企业云存储支出翻倍,达到1280亿美元

根据Omdia的研究,到2028年,企业云存储支出将从去年的570亿美元翻一番以上,达到1280亿美元。该研究分析了基础设施即服务(IaaS)和平台即服务(PaaS)数据中心的收入,作为年度存储数据服…

C++初学者指南-4.诊断---valgrind

C初学者指南-4.诊断—Valgrind Valgrind(内存错误检测工具) 检测常见运行时错误 读/写释放的内存或不正确的堆栈区域使用未初始化的值不正确的内存释放,如双重释放滥用内存分配函数内存泄漏–非故意的内存消耗通常与程序逻辑缺陷有关&#xf…

Halcon 背景网格产品刮伤缺陷检测

* 关闭窗口 dev_close_window ()*关闭程序计数器,图形变量更新,窗口图形更新 dev_update_off ()*设置图像路径 Path : lcd/mura_defects_blur_*读取一张图像 read_image (Image, Path 01)*获取图像大小 get_image_size (Image, Width, Height)*创建一个新窗体 dev_open_window…

Apache Seata应用侧启动过程剖析——注册中心与配置中心模块

本文来自 Apache Seata官方文档,欢迎访问官网,查看更多深度文章。 本文来自 Apache Seata官方文档,欢迎访问官网,查看更多深度文章。 Apache Seata应用侧启动过程剖析——注册中心与配置中心模块 前言 在Seata的应用侧&#xf…

SpringBoot Elasticsearch painless 查询某个属性是否存在的复杂判断for循环判断,深入理解Painless脚本查询

在使用Spring Boot与Elasticsearch结合进行搜索应用开发时,我们经常会遇到需要对文档中的数组或列表类型字段进行复杂查询的情况。Elasticsearch的Painless脚本语言提供了一种强大的方式来执行这类查询,允许开发者在查询时执行自定义的逻辑判断。 深入理…

强化训练:day13(牛牛冲钻五、最长无重复子数组、重排字符串)

文章目录 前言1. 牛牛冲钻五1.1 题目描述1.2 解题思路1.3 代码实现 2. 最长无重复子数组2.1 题目描述2.2 解题思路2.3 代码实现 3. 重排字符串3.1 题目描述3.2 解题思路3.3 代码实现 总结 前言 1. 牛牛冲钻五   2. 最长无重复子数组   3. 重排字符串 1. 牛牛冲钻五 1.1 题…

【Scrapy】深入了解 Scrapy 中间件中的 process_spider_output 方法

准我快乐地重饰演某段美丽故事主人 饰演你旧年共寻梦的恋人 再去做没流着情泪的伊人 假装再有从前演过的戏份 重饰演某段美丽故事主人 饰演你旧年共寻梦的恋人 你纵是未明白仍夜深一人 穿起你那无言毛衣当跟你接近 🎵 陈慧娴《傻女》 Scrapy 是…

使用Python连接本地MySQL数据库并创建表

一、使用Python连接本地MySQL数据库并创建表 端口号:3307 用户名:root 密码:lms123456 数据库:test_01 from orm import *# 数据库连接对象 db MySQLDatabase(host"localhost",port3307,user"root",pas…

CUDA Install--Configure

CUDA环境正确设置 要确保你的系统环境变量正确设置,以包含CUDA 12.2的路径,可以按照以下步骤操作 步骤1:编辑.bashrc文件 打开并编辑你的.bashrc文件,以确保环境变量正确设置。 nano ~/.bashrc 在文件末尾添加以下内容&#xff…