二、防御保护---防火墙基础知识篇

二、防御保护---防火墙基础知识篇

  • 一、什么是防火墙
  • 二、防火墙的发展史
      • 1.包过滤防火墙(一个严格的规则表)
      • 2.应用代理防火墙(每个应用添加代理)
      • 3.状态检测防火墙(首次检查建立会话表)
      • 3.入侵检测系统(IDS)-----网络摄像头
      • 4.入侵防御系统(IPS)-----抵御2-7层已知威胁
      • 5.防病毒网关(AV)-----基于网络测识别病毒文件
      • 6.Web应用防火墙(WAF)-----专门用来保护web应用
      • 6.统一威胁管理(UTM)-----多合一安全网关
      • 7.下一代防火墙(NGFW)-----升级版的UTM
  • 三、防火墙的控制
      • 1.带内管理
      • 2.带外管理
  • 三、防火墙的安全区域

一、什么是防火墙

墙,始于防,忠于守。自古至今,墙予人以安全之意。

防火墙,顾名思义,阻挡的是火,此词起源于建筑领域,正是用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。
在这里插入图片描述
引入到通信领域,防火墙也正是形象化地体现了这一特点:防火墙这一具体设备,通常用于两个网络之间的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。

那么,用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

防火墙的主要职责在于:控制和防护 — 安全策略
防火墙可以根据安全策略来抓取流量之后做出对应的动作。

二、防火墙的发展史

与人类的进化史相似,防火墙的发展历史也经历了从低级到高级、从功能简单到功能复杂的过程。在这一过程中,网络技术的不断发展,新需求的不断提出,推动着防火墙向前发展演进。
在这里插入图片描述

1.包过滤防火墙(一个严格的规则表)

在这里插入图片描述
1,很多安全风险集中在应用层的,所以,仅关注三四层的数据无法做到完全隔离安全风险
2,逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈。
在ACL列表中,华为体系下,末尾是没有隐含规则的,即如果匹配不到ACL列表,则认为ACL列表不存在,之前可以通过,则还可以通过;但是,在防火墙的安全策略中,为了保证安全,末尾会隐含一条拒绝所有的规则,即只要没有放通的流量,都是不能通过的。

2.应用代理防火墙(每个应用添加代理)

在这里插入图片描述
1,因为需要防火墙进行先一步安全识别,所以,转发效率会降低(原来的三层握手就会变成6次握手)
2,可伸缩性差:每一种应用程序需要代理的话,都需要开发对应对应的代理功能,如果没有开发,则无法进行代理。

3.状态检测防火墙(首次检查建立会话表)

在这里插入图片描述
“会话表技术” — 首包检测

3.入侵检测系统(IDS)-----网络摄像头

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
IDS — 一种侧重于风险管理的安全机制 — 滞后性
在这里插入图片描述

4.入侵防御系统(IPS)-----抵御2-7层已知威胁

在这里插入图片描述

5.防病毒网关(AV)-----基于网络测识别病毒文件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

6.Web应用防火墙(WAF)-----专门用来保护web应用

在这里插入图片描述

在这里插入图片描述

6.统一威胁管理(UTM)-----多合一安全网关

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在UTM中,各功能模块是串联工作,所以,检测效率并没有得到提升。但是,因为继承在了一台设备中,所以,维护成本得到降低。

7.下一代防火墙(NGFW)-----升级版的UTM

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
改进点核心:相较于之前UTM中各模块的串联部署,变为了并联部署,仅需要一次检测,所有功能模块都可以做出对应的处理。大大提高了工作效率。
在这里插入图片描述
从防火墙的发展历史中我们可以看到以下三个最主要的特点:

  • 第一点是访问控制越来越精确。从最初的简单访问控制,到基于会话的访问控制,再到下一代防火墙上基于应用、用户和内容来做访问控制,都是为了实现更有效更精确地访问控制。
  • 第二点是防护能力越来越强。从早期的隔离功能,到逐渐增加了入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能,防护手段越来越多,防护的范围也越来越广。
  • 第三点是性能越来越高。随着网络中业务流量爆炸式增长,对性能的需求也越来越高,各个防火墙厂商通过对硬件和软件架构的不断改进,使防火墙的处理性能与业务流量相匹配。

三、防火墙的控制

1.带内管理

通过网络环境对设备进行控制 — telnet,ssh,web
登录设备和被登录设备之间网络需要联通
在这里插入图片描述

2.带外管理

console线,mini usb线
在这里插入图片描述
华为防火墙的MGMT接口(G0/0/0)出厂时默认配置的有IP地址:192.168.0.1/24,并且该接口默认开启了DHCP和web登录的功能,方便进行web管理。

防火墙默认登录账号密码:admin/Admin@123
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 开启管理口web登录服务

三、防火墙的安全区域

防火墙上引入了一个重要的概念:安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查1。

我们都知道,防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就把安全区域和网络关联起来。通常说某个安全区域,就可以表示该安全区域中接口所连接的网络。接口、网络和安全区域的关系所下图所示。
在这里插入图片描述
Trust区域— 该区域内网络的受信任程度高,一般企业内网会被规划在trust区域中
Untrust区域— 一般公网区域被规划在untrust区域中
Local区域 — 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的,凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置,并且我们无法将接口划入该区域。接口本身属于该区域。
Dmz区域 — 非军事化管理区域 — 这个区域主要是为内网的服务器所设定的区域。这些服务器本
身在内网,但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以,这个区域就代表是严格管理和松散管理区域之间的部分管理区域。

优先级 — 1 - 100 — 越大越优
流量从优先级高的区域到优先级低的区域 — 出方向(outbound)
流量从优先级低的区域到高的区域 — 入方向(inbound)
在这里插入图片描述
默认情况下,报文在不同的安全区域之间流动时,才会触发安全检查,在同一个安全区域中流动时,不会触发安全检查。同时,华为的防火墙也支持对同一个安全区域内经过防火墙的流量进行安全检查,更加灵活实用。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/656964.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Python---网络编程知识详解(学习笔记)基础部分

目录 一、IP地址 1.引入IP地址 2.ip地址的分类 2.1 IPv4的5种类别以及共有IP和私有IP 2.1.1 按照基本格式划分 2.1.2 按照功能用途来划分 2.1.2 特殊的P地址 一、IP地址 1.引入IP地址 特点:在逻辑上标记一台电脑(唯一标记) 作用&…

【Midjourney】如何自定义一套参数

使用Midjourney有时候会遇到需要调整某些参数的时候,例如宽高之类的: --hd --ar 7:4 而Midjourney中提供了一条指令用于自定义一套参数方便重复使用。 以下指令创建一个名为“mine”的选项,翻译过来就是 --hd --ar 7:4: 创建成功后会有类似…

【C++版】排序算法详解

目录 直接插入排序 希尔排序 选择排序 冒泡排序 堆排序 快速排序 hoare法 挖坑法 前后指针法 非递归版本 快速排序中的优化 归并排序 递归版本 非递归版本 计数排序 总结 直接插入排序 直接插入排序的思想是:把待排序的记录按其关键码值的大小逐个插入…

【EI会议征稿通知】第五届计算机信息和大数据应用国际学术会议(CIBDA 2024)

第五届计算机信息和大数据应用国际学术会议(CIBDA 2024) 2024 5th International Conference on Computer Information and Big Data Applications 第五届计算机信息和大数据应用国际学术会议(CIBDA 2024)将于2024年3月22-24日在…

运行VUE提示找不到模块validate-engines.js...

原来好好的,突然提示找不到模块validate-engines.js,CMD命令行输入npm -v不是内部或外部命令,node -v可以查看到版本号。 解决: 1. 卸载nodejs,重新下载安装文件:下载nodejs 2. 到目录:C:\Us…

深度学习与神经网络Pytorch版 3.2 线性回归从零开始实现 1.生成数据集

3.2 线性回归从零开始实现 目录 3.2 线性回归从零开始实现 一 ,简介 1. 原理 2. 步骤 3. 优缺点 4. 应用场景 二 ,代码展现 1. 生成数据集(完整代码) 2. 各个函数解析 2.1 torch.normal()函数 2.2 torch.matmul()函数 2.3 d2l.plt.scatter(…

18.通过telepresence调试部署在Kubernetes上的微服务

Telepresence简介 在微服务架构中,本地开发和调试往往是一项具有挑战性的任务。Telepresence 是一种强大的工具,使得开发者本地机器上开发微服务时能够与运行在 Kubernetes 集群中的其他服务无缝交互。本文将深入探讨 Telepresence 的架构、运行原理,并通过实际的案例演示其…

在mgre环境下配置ospf

实验规则如上图所示: 首先规划IP 配置缺省路由,使得公网全网可达 此处在r1上进行配置: 由此可以实现,公网已经全网可达: 其次,再分配 全连的MGRE网段,全连的MGRE网段每个路由器都是中心站点&…

基于springboot招聘信息管理系统源码和论文

在Internet高速发展的今天,我们生活的各个领域都涉及到计算机的应用,其中包括招聘信息管理系统的网络应用,在外国招聘信息管理系统已经是很普遍的方式,不过国内的线上管理系统可能还处于起步阶段。招聘信息管理系统具有招聘信息管…

配置nginx作为静态文件托管服务器

下载nginx windows上是个压缩包 解压后, 使用命令行输入 nginx 进行启动 nginx -s stop 进行停止 nginx -s status 查看状态 可以配置一下环境变量 主要是配置文件, windows的nginx配置文件在 conf文件夹下 在http标签下 添加如下配置 其他地方不用更改,保持原样即可, 以…

git diff查看比对两次不同时间点提交的异同

git diff查看比对两次不同时间点提交的异同 用 git diff命令: git diff commit-id-1 commit-id-2 不同commit-id在不同的时间点提交产生,因为也可以认为git diff是比对两个不同时间点的代码异同。 git diff比较不同commit版本的代码文件异同_git diff c…

2024年航海制造工程与海洋工程国际会议(ICNMEME2024)

一、【会议简介】 2024年航海制造工程与海洋工程国际会议(ICNMEME2024)旨在将研究人员、工程师、科学家和行业专业人士聚集在一个开放论坛上,展示他们在导航制造工程与海洋工程领域的激励研究和知识转移理念。然而,我们也认识到,工程师的未来…

代码随想录算法训练营第二十天 |654.最大二叉树,617.合并二叉树,700.二叉搜索树种的搜索,98.验证二叉搜索树(待补充)

654.最大二叉树 1、题目链接:力扣(LeetCode)官网 - 全球极客挚爱的技术成长平台 2、文章讲解:代码随想录 3、题目: 给定一个不含重复元素的整数数组。一个以此数组构建的最大二叉树定义如下: 二叉树的…

petalinux2022.2启动文件编译配置

安装必要运行库: sudo apt-get install iproute2 gawk python3 python sudo apt-get install build-essential gcc git make net-tools libncurses5-dev tftpd sudo apt-get install zlib1g-dev libssl-dev flex bison libselinux1 gnupg wget git-core diffstat sudo apt-ge…

react实现滚动到顶部组件

新建ScrollToTop.js import React, { useState, useEffect } from react; import ./ScrollToTop.css;function ScrollToTop() {const [isVisible, setIsVisible] useState(true);// Show button when page is scorlled upto given distanceconst toggleVisibility () > {…

处理Servlet生命周期事件

处理Servlet生命周期事件 接收关于 Servlet生命周期事件通知的类称为事件侦听器。这些侦听器实现Servlet API中定义的一个或多个servlet事件侦听器接口。侦听器类的逻辑分类如下: servlet请求侦听器Servlet上下文侦听器HTTP会话侦听器1. servlet请求侦听器 servlet请求侦听器…

专业138总分420+中国科学技术大学843信号与系统考研经验中科大电子信息通信

**今年中科大专业课843信号与系统138分,总分420顺利上岸,梦圆中科大,也是报了高考失利的遗憾,总结一下自己的复习经历,希望可以给大家提供参考。**首先,中科大843包括信号与系统,和数字信号处理…

网络隔离场景下访问 Pod 网络

接着上文 VPC网络架构下的网络上数据采集 介绍 考虑一个监控系统,它的数据采集 Agent 是以 daemonset 形式运行在物理机上的,它需要采集 Pod 的各种监控信息。现在很流行的一个监控信息是通过 Prometheus 提供指标信息。 一般来说,daemonset …

线性代数------矩阵的运算和逆矩阵

矩阵VS行列式 矩阵是一个数表,而行列式是一个具体的数; 矩阵是使用大写字母表示,行列式是使用类似绝对值的两个竖杠; 矩阵的行数可以不等于列数,但是行列式的行数等于列数; 1.矩阵的数乘就是矩阵的每个…

记录springboot bug

mybatis bug mapper 自动生成xml 产生错误 首先我这个bug十分奇怪,不管是报错,还是解决方法 首先,我还原我bug的过程 我首先要在 ordersMapper生成一个方法 本来是这样的方法 Mapper public interface OrdersMapper extends BaseMapper<Orders> {List<GoodsSales…