二、防御保护---防火墙基础知识篇

news2024/11/14 21:20:09

二、防御保护---防火墙基础知识篇

  • 一、什么是防火墙
  • 二、防火墙的发展史
      • 1.包过滤防火墙(一个严格的规则表)
      • 2.应用代理防火墙(每个应用添加代理)
      • 3.状态检测防火墙(首次检查建立会话表)
      • 3.入侵检测系统(IDS)-----网络摄像头
      • 4.入侵防御系统(IPS)-----抵御2-7层已知威胁
      • 5.防病毒网关(AV)-----基于网络测识别病毒文件
      • 6.Web应用防火墙(WAF)-----专门用来保护web应用
      • 6.统一威胁管理(UTM)-----多合一安全网关
      • 7.下一代防火墙(NGFW)-----升级版的UTM
  • 三、防火墙的控制
      • 1.带内管理
      • 2.带外管理
  • 三、防火墙的安全区域

一、什么是防火墙

墙,始于防,忠于守。自古至今,墙予人以安全之意。

防火墙,顾名思义,阻挡的是火,此词起源于建筑领域,正是用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。
在这里插入图片描述
引入到通信领域,防火墙也正是形象化地体现了这一特点:防火墙这一具体设备,通常用于两个网络之间的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。

那么,用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

防火墙的主要职责在于:控制和防护 — 安全策略
防火墙可以根据安全策略来抓取流量之后做出对应的动作。

二、防火墙的发展史

与人类的进化史相似,防火墙的发展历史也经历了从低级到高级、从功能简单到功能复杂的过程。在这一过程中,网络技术的不断发展,新需求的不断提出,推动着防火墙向前发展演进。
在这里插入图片描述

1.包过滤防火墙(一个严格的规则表)

在这里插入图片描述
1,很多安全风险集中在应用层的,所以,仅关注三四层的数据无法做到完全隔离安全风险
2,逐包进行包过滤检测,将导致防火墙的转发效率过低,成为网络中的瓶颈。
在ACL列表中,华为体系下,末尾是没有隐含规则的,即如果匹配不到ACL列表,则认为ACL列表不存在,之前可以通过,则还可以通过;但是,在防火墙的安全策略中,为了保证安全,末尾会隐含一条拒绝所有的规则,即只要没有放通的流量,都是不能通过的。

2.应用代理防火墙(每个应用添加代理)

在这里插入图片描述
1,因为需要防火墙进行先一步安全识别,所以,转发效率会降低(原来的三层握手就会变成6次握手)
2,可伸缩性差:每一种应用程序需要代理的话,都需要开发对应对应的代理功能,如果没有开发,则无法进行代理。

3.状态检测防火墙(首次检查建立会话表)

在这里插入图片描述
“会话表技术” — 首包检测

3.入侵检测系统(IDS)-----网络摄像头

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
IDS — 一种侧重于风险管理的安全机制 — 滞后性
在这里插入图片描述

4.入侵防御系统(IPS)-----抵御2-7层已知威胁

在这里插入图片描述

5.防病毒网关(AV)-----基于网络测识别病毒文件

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

6.Web应用防火墙(WAF)-----专门用来保护web应用

在这里插入图片描述

在这里插入图片描述

6.统一威胁管理(UTM)-----多合一安全网关

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在UTM中,各功能模块是串联工作,所以,检测效率并没有得到提升。但是,因为继承在了一台设备中,所以,维护成本得到降低。

7.下一代防火墙(NGFW)-----升级版的UTM

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
改进点核心:相较于之前UTM中各模块的串联部署,变为了并联部署,仅需要一次检测,所有功能模块都可以做出对应的处理。大大提高了工作效率。
在这里插入图片描述
从防火墙的发展历史中我们可以看到以下三个最主要的特点:

  • 第一点是访问控制越来越精确。从最初的简单访问控制,到基于会话的访问控制,再到下一代防火墙上基于应用、用户和内容来做访问控制,都是为了实现更有效更精确地访问控制。
  • 第二点是防护能力越来越强。从早期的隔离功能,到逐渐增加了入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能,防护手段越来越多,防护的范围也越来越广。
  • 第三点是性能越来越高。随着网络中业务流量爆炸式增长,对性能的需求也越来越高,各个防火墙厂商通过对硬件和软件架构的不断改进,使防火墙的处理性能与业务流量相匹配。

三、防火墙的控制

1.带内管理

通过网络环境对设备进行控制 — telnet,ssh,web
登录设备和被登录设备之间网络需要联通
在这里插入图片描述

2.带外管理

console线,mini usb线
在这里插入图片描述
华为防火墙的MGMT接口(G0/0/0)出厂时默认配置的有IP地址:192.168.0.1/24,并且该接口默认开启了DHCP和web登录的功能,方便进行web管理。

防火墙默认登录账号密码:admin/Admin@123
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 开启管理口web登录服务

三、防火墙的安全区域

防火墙上引入了一个重要的概念:安全区域(Security Zone),简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”,当报文在不同的安全区域之间流动时,才会触发安全检查1。

我们都知道,防火墙通过接口来连接网络,将接口划分到安全区域后,通过接口就把安全区域和网络关联起来。通常说某个安全区域,就可以表示该安全区域中接口所连接的网络。接口、网络和安全区域的关系所下图所示。
在这里插入图片描述
Trust区域— 该区域内网络的受信任程度高,一般企业内网会被规划在trust区域中
Untrust区域— 一般公网区域被规划在untrust区域中
Local区域 — 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的,凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置,并且我们无法将接口划入该区域。接口本身属于该区域。
Dmz区域 — 非军事化管理区域 — 这个区域主要是为内网的服务器所设定的区域。这些服务器本
身在内网,但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以,这个区域就代表是严格管理和松散管理区域之间的部分管理区域。

优先级 — 1 - 100 — 越大越优
流量从优先级高的区域到优先级低的区域 — 出方向(outbound)
流量从优先级低的区域到高的区域 — 入方向(inbound)
在这里插入图片描述
默认情况下,报文在不同的安全区域之间流动时,才会触发安全检查,在同一个安全区域中流动时,不会触发安全检查。同时,华为的防火墙也支持对同一个安全区域内经过防火墙的流量进行安全检查,更加灵活实用。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1420850.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【解决方案_中国银行滑动拼图验证,只有拖动了滑块之后,才会显示背景框的验证码】

中国银行滑动拼图验证,只有拖动了滑块之后,才会显示背景框的验证码,怎么解决?: 答: 将目标元素显示出来就可以了。 第二条指令:第二条指令里面填://*[id"dx_captcha_basic_co…

鸿蒙系统扫盲(七):勘误补充总结,收个尾

这是笔者鸿蒙扫盲系列的最后一篇了,准备对过去的六篇扫盲系列文章,错误的地方做一些勘误,并且补充更新一些朋友们感兴趣的知识,最后收个尾。 1.勘误,编译型语言和解释型语言 在鸿蒙系统扫盲(五&#xff0…

单片机学习笔记---定时器计数器(含寄存器)工作原理介绍(详解篇2)

目录 T1工作在方式2时 T0工作在方式3时 四种工作方式的总结 定时计数器对输入信号的要求 定时计数器对的编程的一个要求 关于初值计算的问题 4种工作方式的最大定时时间的大小 关于编程方式的问题 实例分析 实例1 实例2 T1工作在方式2时 51单片机,有两个…

全新开源AI代码工具诞生!超越谷歌DeepMind旗下AlphaCode

‍ 听说,谷歌DeepMind开发出的AlphaCode,和上个月刚刚由Gemini推出的AlphaCode 2两位“老大哥”被超越了? 没错,全新开源人工智能代码生成工具AlphaCodium,诞生了! 其开发不得不说受到了两位老大哥的启发…

MySQL行格式原理深度解析

MySQL中的行格式(Row Format)是指存储在数据库表中的数据的物理格式。它决定了数据是如何在磁盘上存储的,以及如何在查询时被读取和解析的。MySQL支持多种行格式,每种格式都有其特定的优点和适用场景。 提升编程效率的利器: 解析…

vector(顺序表)

vector容器就相当于一个顺序表&#xff0c;只不过他把一些功能分装到了容器里 常用接口及语法 构造&#xff1a;vectro<数据类型> 对象名 输出&#xff1a;和顺序表一样我们需要遍历打印&#xff0c;而不能直接用cout打印 对象.push_back () 尾插 对象.pop_back() 尾删…

3款最好用的tron钱包解读:TronLink,Ledger,Bitget钱包

电子钱包是用户连接到区块链网络的重要媒介。除了接收和发送功能外&#xff0c;它还可用于传输虚拟货币。它也是使用分散应用程序&#xff08;DApp&#xff09;的必要工具&#xff01;无论您是想在ON上使用以太坊&#xff0c;EOS还是任何DApp&#xff0c;您都必须先拥有钱包。因…

springboot2.7继承swagger knif4j

maven pom依赖 <dependency><groupId>com.github.xiaoymin</groupId><artifactId>knife4j-openapi2-spring-boot-starter</artifactId><version>4.4.0</version></dependency> yml配置 knife4j:enable: trueopenapi:title: …

C++ 入门(二)— 基础知识

文章目录 语句和程序的结构对象和变量变量赋值和初始化cout、cin 和 endl 语句和程序的结构 语句 语句是迄今为止 C 程序中最常见的指令类型。这是因为它们是 C 语言中最小的独立计算单元。在这方面&#xff0c;它们的行为很像自然语言中的句子。 C 中的大多数&#xff08;但…

在Windows11的WSL上运行Llama2-7b-chat 上

最近在玩大模型&#xff0c;玩了ChatGLM3感觉不过瘾&#xff0c;又去玩了Llama2&#xff08;在Windows上简直难的离谱&#xff09;&#xff0c;下边我讲为大家讲一下我的心路历程。 心路历程 第一天&#xff1a;GLM那么简单&#xff0c;有手就行啊&#xff0c;最近Llama2开源…

Android中下载 HAXM 报错 Intel® HAXM installation failed,如何解决?

最近在搭建 Flutter 环境&#xff0c;但是在 Android Studio 中安装 Virtual Device 时&#xff0c;出现了一个 问题 Intel HAXM installation failed. To install Intel HAXM follow the instructions found at: https://github.com/intel/haxm/wiki/Installation-Instructio…

ES6.8.6 Java客户端发起 增删改查 query (bool)、update、delete

文章目录 环境测试数据增单个新增批量新增 删通过delete by api删除通过delete by query api删除删除索引中指定字段&#xff08;script&#xff09; 改单个修改update by api通过_bulk批量修改批量修改update by query api使用script脚本修改 查完全匹配&#xff08;term&…

Linux:进程信号

文章目录 信号的概念实践信号关于前台和后台进程的操作 操作系统与外设信号的产生 前面的篇章结束了信号量的话题&#xff0c;那么接下来引入的是信号的话题&#xff0c;信号和信号量之间没有任何关系&#xff0c;只是名字比较像 信号的概念 在生活中存在各种各样的信号&…

【游戏服务器部署】幻兽帕鲁服务器一键部署保姆级教程,游戏私服还是自己搭建的香

在帕鲁的世界&#xff0c;你可以选择与神奇的生物「帕鲁」一同享受悠闲的生活&#xff0c;也可以投身于与偷猎者进行生死搏斗的冒险。帕鲁可以进行战斗、繁殖、协助你做农活&#xff0c;也可以为你在工厂工作。你也可以将它们进行售卖&#xff0c;或肢解后食用。—幻兽帕鲁 想要…

【Linux】压缩脚本、报警脚本

一、压缩搅拌 要求&#xff1a; 写一个脚本&#xff0c;完成如下功能 传递一个参数给脚本&#xff0c;此参数为gzip、bzip2或者xz三者之一&#xff1b; (1) 如果参数1的值为gzip&#xff0c;则使用tar和gzip归档压缩/etc目录至/backups目录中&#xff0c;并命名为/backups/etc…

【新书推荐】4.1节 数值编码规则

本节内容&#xff1a;不同进制数据的编码规则。 ■数值数据的编码规则&#xff1a;二进制数、十六进制数和十进制数&#xff0c;以及无符号整数和有符合整数的编码规则。 ■基本数据类型&#xff1a;编译器指定的数据类型为基本数据类型。汇编器MASM5.0指定的基本数据类型有BYT…

HubSpot社交媒体影响力怎么样?

HubSpot是一家在数字营销和销售领域非常知名的公司&#xff0c;以其全面的营销、销售和客户服务软件而闻名。然而&#xff0c;关于HubSpot在社交媒体上的具体影响力&#xff0c;这是一个动态的情况&#xff0c;因为社交媒体的影响力可能受到多种因素的影响&#xff0c;包括社交…

yarn 现代的包管理工具 介绍

一、前言 yarn 是一个现代的包管理工具&#xff0c;它是 npm&#xff08;Node Package Manager&#xff09;的一个替代品。yarn 由 Facebook 开发&#xff0c;并在 2016 年发布。它解决了当时 npm 的一些问题&#xff0c;尤其是在性能和安全性方面。 yarn 主要用于以下几个方面…

利用操作符解题的精彩瞬间(上)

下面是链接为了解释练习2的并且还有与操作符相关的知识。 C语言与操作符相关的经典例题-CSDN博客 操作符详解&#xff08;上&#xff09;-CSDN博客 操作符详解&#xff08;下&#xff09;-CSDN博客 目录 练习1&#xff1a;在一个整型数组中&#xff0c;只有一个数字出现一…

SpringCloud微服务常见问题

1 微服务 返回面试宝典 问题1 SpringCloud常见组件有哪些&#xff1f; SpringCloud包含的组件很多&#xff0c;有很多功能是重复的&#xff0c;其中最常见的组件包括&#xff1a; 注册中心组件&#xff1a;Eureka、Nacos等&#xff1b;负载均衡组件&#xff1a;Ribbon&…