网络安全-防火墙
1.什么是防火墻?
它是一種位于內部網絡與外部網絡之間的網絡安全系統。是一項信息安全的防護系統,依照特定的規則,允許或是限制傳輸的數據通過。
在網絡的世界里,要由防火墻過濾的就是承載通信數據的通信包。
在網絡中,所謂“防火墻”,是指一種將內部網和公眾訪問網(如Internet)分開的方法,它實際上是一種隔離技術。防火墻是在兩個網絡通訊時執行的一種訪問控制尺度,它能允許你“同意”的人和數據進入你的網絡,同時將你“不同意”的人和數據拒之門外,最大限度地阻止網絡中的黑客來訪問你的網絡
2.狀態防火墻的工作原理?
狀態檢測防火墻基本保持了簡單包過濾防火墻的優點,性能比較好,同時對應用是透明的,在此基礎上,對于安全性有了大幅提升。這種防火墻摒棄了簡單包過濾防火墻僅僅考察進出網絡的數據包,不關心數據包狀態的缺點,在防火墻的核心部分建立狀態連接表,維護了連接,將進出網絡的數據當成一個個的事件來處理。
?
3. 防火墻如何處理雙通道協議?
雙通道協議指控制層流量和數據層流量不在同一個端口,比如FTP的主動模式,登錄使用21端口,然后溝通一個隨機端口進行數據傳輸,在狀態防火墻中,無法得知協議溝通得到的端口,所以無法放行數據層的流量。這就需要另一個協議ASPF(應用層報文過濾)登場,該協議可以讀取指定協議的協商端口的報文,并將協商出的端口加入server-map表,用來放行流量,相當于創建了一條臨時的精細的安全策略。
?
4.防火墻如何處理nat?
1) 當請求的流量進入USG防火墻的入接口后,防火墻會查找目的NAT轉換表,匹配請求的目的地址是否需要轉換;
2) 如果命中轉換條目,目的地址會被轉換,不命中將會直接送到下一個流程;
3) 查找路由表,如命中路由表條目則送到下一個流程,路由表沒匹配將會被丟棄;
4) 接下來會送到安全策略里面檢查,如果檢查匹配安全策略的permit條目,則被放行進入下一個流程,否則請求將會被丟棄(安全策略需要配置業務流量最開始的源IP地址和最終的目的IP地址);
5) 匹配源NAT轉換表,如果命中則會對源地址進行轉換并創建會話表,否則不進行轉換直接創建會話表;
6) 流量從出接口送出。
?
5.防火墻的發展歷史
1)第一代,包過濾防火墻
①訪問控制列表Access Control List
在Routing&Switching主要學習訪問控制列表有兩種
-標準訪問控制列表,簡單,高效,但是控制元素單一,只能基于IP
-擴展訪問控制列表,相對標準訪問控制列表復雜,但是挖制元素更為豐富,例如基于源目IP地址,源目端口號,協議
2)第二代,代理防火墻
①類似于中間人(中介) ,能夠代替請求發起者,向被請求者發送數據包
②功能單一,性能有限,沒有成為防火墻市場主流
③目前,代理防火墻模型被用于SSL VPN中
3)第三代,狀態檢測防火墻
①什么是初始化流量?
整個溝通開始的第-個數據包,就是初始化流量,或叫首包流量
②什么是狀態化表項?
當首包穿越防火墻時,防火墻會記錄該數據包的信息(例如源目IP地址、源目端口號、協議)
然后把以上信息存放到狀態化表項
③什么是狀態檢測技術?
此時,返回的流量,防火墻首先檢查是否存在匹配該流量的狀態化表項
如果有,則流量直接放行
如果沒有,檢查訪問控制策略,
若訪問控制策略放行,則流量可以轉發
若訪問控制策略沒有放行,則流量直接被丟棄
④狀態檢測防火墻是由哪一個安全廠商首推的概念?
CheckPoint,國際防火墻排名第一的安全廠商
4)下一代防火墻
①現在安全廠商大力推薦的一個產品
②下一代防火墻特征:
一個數據包,一條策略,包含所有檢查項的執行
趨勢:可視化
③下一代防火墻是由哪一個安全廠商首推的概念?
PaloAlto,國際防火墻排名第一的安全廠商
總結
- 上一篇: badboy提示当前页面的脚本发生错误
- 下一篇: 王之泰201771010131《面向对象