防火墙技术基础篇:认识安全策略、安全区域、域间转发及报文转发流程

news2024/12/23 11:00:47

防火墙技术基础篇:认识安全策略、安全区域、域间转发及报文转发流程

一、安全策略匹配机制

简单通俗的讲,防火墙设备最基本的用途就是定义数据如何转发,靠什么定义呢?最基本的就是安全策略,当流量来到防火墙之后首先要报文匹配安全策略,先检查这个报文是否符合第一条安全策略的条件,如果符合就按照安全策略定义的规则动作执行,动作有permit和deny,也就是允许转发和不允许转发。如果第一条安全策略没有命中,那么继续匹配其他的安全策略。如果匹配完所有的安全策略都没有命中,那么将执行默认的安全策略动作(deny)。
在配置安全策略的时候简历把精细的策略写到前面,没那么精细的策略放到后面,否则可能会先命中粗略的策略,进而报文匹配不到精细的策略,无法实现我们的需求。

二、什么是防火墙转发策略

防火墙转发策略是指控制哪些流量可以经过设备转发的域间安全策略。防火墙通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息的安全性。在这个过程中,防火墙会对域间(除Local域外)转发流量进行安全检查,例如控制哪些内网用户可以访问Internet。
在这里插入图片描述

防火墙转发策略的核心作用是根据一定规则对流量进行筛选,由动作来确定下一步操作。具体来说,防火墙会对收到的流量进行检测,识别流量的属性,如源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段等。然后,根据这些属性和预设的安全策略,防火墙决定是否转发、丢弃或执行其他操作。
防火墙的转发策略对于确保计算机网络运行的安全性至关重要。通过精心配置防火墙的安全策略,可以隔离并保护内部网络免受潜在的安全威胁,同时记录与检测网络中的各项活动,为用户提供更安全、更可靠的计算机网络使用体验。

三、什么是防火墙安全区域

防火墙安全区域(Security Zone)是防火墙功能实现的基础之一,它是一个逻辑概念,代表一个或多个接口的集合。这些接口所包含的用户具有相同的安全属性。防火墙通过安全区域来划分网络,并标识报文流动的“路线”。每个安全区域具有全局唯一的安全优先级。
在这里插入图片描述

在防火墙的配置中,设备认为在同一安全区域内部发生的数据流动是可信的,因此不需要实施任何安全策略。然而,当不同安全区域之间发生数据流动时,防火墙会触发安全检查,并根据预定义的安全策略来实施相应的安全控制。
安全区域的设置使得防火墙能够更有效地管理和控制网络流量,保护关键资源和信息免受潜在的网络攻击和威胁。通过合理划分安全区域并配置相应的安全策略,可以提高网络的整体安全性。
防火墙使用安全区域来区分一个网络是否安全,一般有4个默认的安全区域。

3.1 Local区域

Local表示本地,防火墙所有的接口都属于local区域。即使防火墙接口划分到了其他的安全区域,那么接口永远也属于local区域。

3.2 Trust区域

Trust为受信任的区域,一般会把防火墙连接内网的接口划分到trust区域。

3.3 DMZ区域

Dmz为非军事化区域。一般把连接到数据中心的接口划分到dmz区域。这个区域的信任程度优于untrust,次于trust。因为服务器是内部的设备认为是可信的,可是服务器又会有让外网用户访问的需求,所以把dmz区域定义为中等信任的区域。

3.4 Untrust区域

Untrust为不受信任的区域,由于Internet非常不安全,所以一般把连接Internet的接口划分到untrust区域。
每个安全区域都会有一个优先级,默认安全区域优先级从高到低为:local>trust>dmz>untrust
在这里插入图片描述

防火墙除了以上4个默认的安全区域之外,用户还可以根据自己的需求自行创建安全区域,创建的安全区域需要设置安全区域优先级,优先级不可以和已有的安全区域优先级相同。

四、什么是防火墙域间转发

默认情况下,相同安全区域之间的网络可以相互通信。例如,两台位于Trust区域的计算机可以互相访问。
但是,如果需要不同安全区域之间的通信(例如,Trust区域与Untrust区域之间),默认情况下是被隔离的。
为了实现不同安全区域之间的通信,需要配置安全策略。
安全策略由匹配条件(例如五元组、用户、时间段等)和动作组成,用于控制流量。当防火墙收到流量时,会根据安全策略的匹配条件对流量进行识别和匹配。
例如,可以创建一条安全策略,允许从Trust区域访问Untrust区域的流量,从而实现不同安全区域之间的通信。

五、报文转发的流程

如果防火墙接收到一个数据包,那么会根据下面的流程进行处理:
如果报文从某个接口接收到或者准备从这个接口发送出去的时候,检查这个接口是否加入了安全区域,如果这个接口并没有加入任何的安全区域,那么这个直接把这个报文丢弃;如果该接口已经加入了安全区域,解析报文的目的IP地址在防火墙的路由表是否可以查询到对应的出接口,如果查询不到也是直接丢弃;如果有路由则查询防火墙的会话表,如果会话表有匹配的条目那么可以直接根据会话表进行转发,就不需要匹配安全策略了,如果会话表没有,那么就需要匹配安全策略了!
希望对您有用,有不对的地方希望不吝赐教,欢迎在评论区留言,分享你的看法。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1622361.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

LeetCode_链表的回文结构

✨✨所属专栏:LeetCode刷题专栏✨✨ ✨✨作者主页:嶔某✨✨ 题目描述: 对于一个链表,请设计一个时间复杂度为O(n),额外空间复杂度为O(1)的算法,判断其是否为回文结构。给定一个链表的头指针A,请返回一个bo…

Edge下载文件提示无法安全下载的解决方法

问题描述:最近Edge在下载文件时总是提示:无法安全下载,本文记录一下解决方法。 提示截图: 解决方式一: 1. 点击下图红框的三个点,选择保留 2. 选择仍然保留 解决方式二: 第一种方式每下载一次…

微信小程序中,plugins 配置项如何配置多个插件

在微信小程序中,如果需要配置多个插件,你可以在 app.json 文件的 plugins 配置项中为每个插件指定一个唯一的自定义名称,并分别提供它们的 version 和 provider 信息。下面是一个配置多个插件的示例: json复制代码 { "pages…

Python 0基础_变现_38岁_day 16(文件操作)

在python,使用内置函数open()进行文件的一些读写操作 文件操作格式:open(文件路径,访问模式,字符编码) 前面两个参数是必备参数,后面的字符编码为选填,但是大多数情况下都会协商字符编码 访问模式 r 只读 w…

如何看待AIGC技术

目录 1.概述 2.技术应用 2.1.媒体与内容创作 2.2.教育与学习 ​​​​​​​2.3.艺术创作 ​​​​​​​2.4.游戏产业 ​​​​​​​2.5.工业设计 ​​​​​​​2.6.对未来社会的影响 2.7.可能的发展方向 ​​​​​​​2.8.小结 3.伦理与风险 3.1.AIGC技术面临…

科研工作学习中常用的录制动图软件——screenToGif

一、前言 俗话说,字不如表,表不如图,静图不如动图。 动图给人的直观感受,还是很不错的。在曾经的学生期间,进行组会汇报;还是如今工作中,给领导汇报。我经常使用screenToGif这款软件&#xff…

基于STM32F4系列的ETH IAP在线升级程序

目录 1、前言 2、以太网的移植(无操作系统) 3、移植FATS 系统 4、移植ETH 驱动及 DP83848驱动 5、Tftp 服务程序 6、注意事项 ​7、代码 资料下载地址:基于STM32F4系列的ETH IAP在线升级程序 1、前言 此bootloader程序可以通过http…

数字科技助力垃圾分类展厅,增强内容交互新体验!

如今,许多行业都开始运用数字技术,探索其在展览展示领域中的应用,其中垃圾分类展厅作为现代城市文明建设的重要一环,也通过这些技术的运用,打造出了更加生动且富有科技感的展示空间,它不仅提升公众对垃圾分…

TCP详解

2.1TCP 由IETF的RFC793定义的传输控制协议(Transmission Control Protocol,TCP)是一种基于字节流的传输层通信协议。在传输数据前需要在发送与接收者之间建立连接,通过相应机制保证其建立连接的可靠性。 TCP协议具备以下特性&am…

信息化工作人员必备常识8——DNS缓存【查看缓存与清理dns缓存】

信息化工作人员必备常识8——DNS缓存【查看缓存与清理dns缓存】 前言信息化人员必备常识回顾(不想看回顾的直接往下滑哦~)pingtelnetnslookup命令ipconfig命令域名DNS DNS缓存主机上解析DNS的优先级 清理DNS缓存查看当前电脑有哪些DNS缓存 前言 信息化相…

【超详细保姆教程】手把手教你如何修改el-tab的默认样式,把el-tab的label变成我们想要的

目录 前言实现效果官方的样式修改后的结果 步骤1、去掉分割线和下划线去掉前去掉后 2、设置插槽,自定义label的内容,加上border等结果 3、为选中的tab修改高亮结果 前言 做前端实习也有一段时间了,昨天晚上在学校上项目工程管理这门课的时候…

Edge浏览器下载文件提示 “无法安全下载” 的解决方法

提示如下: 虽然我们可以通过 "保留" 进行下载,但是每次需要选择,比较麻烦 解决方法: 1、打开注册表 HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft 2、创建2个 "项" Edge\InsecureContentAllowedForUrls…

数据链路层(计算机网络,待完善)

0、前言 本文大多数图片都来自于 B站UP主:湖科大教书匠 的教学视频,对高军老师及其团队制作出这么优质的课程表示感谢。文章增加了部分个人理解,内容并不是对视频的静态化翻译。 1、概述 1.1、数据链路层在计算机网络体系中的位置 1.2、对…

手机照片删除了怎么恢复?教你3个招!

我们使用手机的时间在变长,手机里储存的数据也会越来越多,所以一旦手机卡顿,我们往往会选择清理垃圾的方式来释放内存。如果不小心把照片清理了怎么办呢?手机照片删除了怎么恢复呢?别着急,这个问题小编会&a…

泰坦尼克号乘客生存预测 中

背景描述 泰坦尼克号轮船的沉没是历史上最为人熟知的海难事件之一。1912年4月15日,在她的处女航中,泰坦尼克号在与冰山相撞后沉没,在船上的 2224 名乘客和机组人员中,共造成 1502 人死亡。这场耸人听闻的悲剧震惊了国际社会&…

js 连接快手打印组件并实现打印

快手打印组件文档: https://docs.qingque.cn/d/home/eZQA41D2h9LGUFaD26bC07e–?identityIdEmukFTnlEF#sectionh.kgnfm4rjc89m 快手打印组件下载: https://docs.qingque.cn/d/home/eZQBMOMSj4mJ5D7Xplofq-p4Y?identityIdEmukFTnlEF 快手打印数据格式&…

Android 13 Layer数据结构

Layer::State state的定义 State mDrawingState; 一个mDrawingState的变量struct State {Geometry active_legacy;Geometry requested_legacy;int32_t z;ui::LayerStack layerStack;#endifuint32_t flags;uint8_t reserved[2];int32_t sequence; // changes when visible regi…

opencv图片绘制图形-------c++

绘制图形 #include <opencv2/opencv.hpp> #include <opencv2/core.hpp> #include <filesystem>bool opencvTool::drawPolygon(std::string image_p, std::vector<cv::Point> points) {cv::Mat ima cv::imread(image_p.c_str()); // 读取图像&#xf…

QT从入门到实战x篇_22_番外1_Qt事件系统

文章目录 1. Qt事件系统简介1.1 事件的来源和传递1.2 事件循环和事件分发1.2.1 QT消息/事件循环机制1.2.1.1 机制解释1.2.1.2 两个问题 1.2.2 事件分发 2. 事件过滤基础2.1 什么是事件过滤器&#xff08;Event Filter&#xff09;&#xff1f;2.2 如何安装事件过滤器 3. 事件过…

深入探讨回流焊技术:电子制造业的核心工艺

在现代电子制造领域&#xff0c;回流焊技术被广泛认为是实现高效率和高质量电子组件装配的关键工艺之一。本文将针对回流焊的基本原理、设备构成、过程细节以及过程优化进行全面解析&#xff0c;为电子制造业的技术人员提供实用的参考和指导。 1. 回流焊基本原理解析 回流焊主…