《Cisco安全防火墙服务模块(FWSM)解决方案》——1.2 理解应用/代理防火墙

简介:

本节书摘来异步社区《Cisco安全防火墙服务模块(FWSM)解决方案》一书中的第1章,第1.2节,作者:【美】Ray Blair ,Arvind Durai,更多章节内容可以访问云栖社区“异步社区”公众号查看

1.2 理解应用/代理防火墙

Cisco安全防火墙服务模块(FWSM)解决方案
本节在描述应用/代理防火墙时使用了开放系统互连(OSI)模型,并对其进行了简要回顾。OSI模型描述了信息如何从一台计算机的应用程序传输到另外一台计算机的应用程序。在信息传输过程中,每一层都执行特定的任务,然后将信息传输到下一层。该模型有助于解释各个功能层的职责。

OSI模型的7层如下所示。

应用层(第7层):计算机(程序)的用户界面。比如,字处理器、E-mail应用程序、Telnet等。
表示层(第6层):充当系统之间的翻译器,将应用层信息转换为不同系统都可以理解的通用格式。该层处理加密和标准,比如动态图像专家组(MPEG)和标签影像文件格式(TIFF)。
会话层(第5层):负责管理计算机之间的连接或服务请求。
传输层(第4层):负责将数据传输到网络中。传输控制协议是第4层的功能,它在传输时能够保证数据顺序到达,因此提供了比较可靠的通信性能。用户数据报协议也是第4层的功能,但是提供的是不可靠的数据传递。
网络层(第3层):负责IP寻址和数据包路由。位于该层的数据称为“数据包”。
数据链路层(第2层):负责信息的可靠发送。介质访问控制(MAC)是第2层的组成部分。位于该层的数据称为“数据帧”。
物理层(第1层):由可以看到以及不能看到(比如电气特性)的物体组成。
提示:
可以使用如下“口诀”轻松地记住OSI模型的各层:All People Seem To Need Data Processing(所有的人似乎都需要数据处理)1。
顾名思义,应用防火墙工作于第7层,也就是OSI模型的应用层。这些设备作为客户端的代理来处理请求的服务。比如,打开Web浏览器,然后打开www.cisco.com的一个Web页面。该请求被发送到代理防火墙,然后代理防火墙作为客户端的代理来打开一个去往www.cisco.com的连接。随后,Web页面上的信息传回客户端的Web浏览器,以供用户查看。

1.2.1 优势

由于应用/代理防火墙充当的是客户端的代理,因此它们提供了额外的“缓存”来应对端口扫描、应用攻击等。例如,如果攻击者找到了一个应用程序的漏洞,则攻击者在攻击防火墙后面的设备之前,会首先攻击应用/代理防火墙。应用/代理防火墙在其漏洞曝光时,也应该立即打补丁。而对所有的内部设备进行打补丁的方式可能行不通。

1.2.2 告诫

当计算机在应用层充当客户端的代理时,需要注意下面几点。首先,计算机必须知道如何处理特定的应用程序。基于Web的应用程序非常常见,但是如果有一个很独特的应用程序,如果不修改代理防火墙,则它将无法支持该应用程序。第二,由于应用防火墙上面运行着应用程序,同时还要维护客户端和服务器的状态,以及执行流量监测功能,因此其速度通常要比包过滤或包检测防火墙慢。

图1-2所示为一台应用/代理防火墙,以及一个会话通过该防火墙与外部的Web服务器建立连接的方式。

图1-2所示的处理过程如下所示。

步骤1 客户端尝试与外部的Web服务器进行连接。例如,用户在Web浏览器中输入www.cisco.com 。

步骤2 代理服务器接收到来自客户端的请求,然后将该请求转发到适当的Web服务器(www.cisco.com)。

步骤3 Web服务器接收到该请求后,将所请求的信息回复给代理服务器。

步骤4 代理服务器将接收到请求信息转发给客户端。

e4206a726d3b196d9ba6b259e94a198dd1f9c6bd

注意:
简单起见,本例中没有讨论域名服务(DNS)、地址解析协议(ARP)和第2层/第3层信息。而且这里还假定客户端Web应用程序已经配置了适当的代理信息。
代理/应用防火墙能够有效地控制流量,并防止客户端遭受恶意软件(malware)和外部的攻击。这些防火墙也必须运行与客户端相似的应用程序,这使得它们易于遭受应用程序的攻击。

相关文章
|
2月前
|
供应链 安全 应用服务中间件
防火墙是什么?聊聊如何轻松缓解应用漏洞
防火墙是什么?聊聊如何轻松缓解应用漏洞
29 6
|
8月前
|
网络协议 网络安全
Ansible模块介绍——防火墙模块
Ansible模块介绍——防火墙模块
141 0
|
12天前
|
云安全 数据采集 安全
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
阿里云提供两种关键安全产品:Web应用防火墙和云防火墙。Web应用防火墙专注网站安全,防护Web攻击、CC攻击和Bot防御,具备流量管理、大数据防御能力和简易部署。云防火墙是SaaS化的网络边界防护,管理南北向和东西向流量,提供访问控制、入侵防御和流量可视化。两者结合可实现全面的网络和应用安全。
阿里云安全产品,Web应用防火墙与云防火墙产品各自作用简介
|
1月前
|
SQL 弹性计算 负载均衡
10分钟将您的Web应用接入防火墙
如果您现在拥有一个Web应用,并且有安全诉求,请阅读本文。
10分钟将您的Web应用接入防火墙
|
2月前
|
运维 监控 安全
安全防御之入侵检测与防范技术
安全防御中的入侵检测与防范技术主要涉及到入侵检测系统(IDS)和入侵防御技术(IPS)。 入侵检测系统(IDS)是一种对入侵行为自动进行检测、监控和分析的软件与硬件的组合系统。IDS通过从计算机网络或系统中的若干关键点收集信息,并对其进行分析,从中发现网络或系统中是否有违反安全策略的行为和遭到攻击的迹象。 入侵防御技术(IPS)是一种主动的安全防御技术,旨在防止恶意软件入侵和数据泄露。它通过实时监测和拦截网络流量中的威胁,保护网络和系统免受攻击。
66 0
|
3月前
|
安全 网络安全
网络安全攻防技术:防火墙的实践应用
网络安全攻防技术是当今社会中最重要的话题之一。为了保护我们的个人信息和企业数据,我们需要使用各种安全工具和技术来打击网络攻击。本文将介绍防火墙的实践应用,以帮助您更好地保护您的网络安全。
|
4月前
|
Linux 网络安全 Nacos
麒麟v10系统,服务连接nacos提示连接不上9848端口是什么问题呢?服务和nacos都在一台机器,防火墙也都关闭了,telnet9848是ok的,但服务启动时就连不上9848。
麒麟v10系统,服务连接nacos提示连接不上9848端口是什么问题呢?服务和nacos都在一台机器,防火墙也都关闭了,telnet9848是ok的,但服务启动时就连不上9848。
212 1
|
5月前
|
网络协议 网络安全
如何屏蔽防火墙UDP服务支持
如何屏蔽防火墙UDP服务支持
71 0
|
5月前
|
网络安全
麒麟系统开启关闭防火墙服务
麒麟系统开启关闭防火墙服务
329 1
|
7月前
|
运维 安全 数据可视化
01-基础设施安全-5-云防火墙-ACA-02-云防火墙快速入门
01-基础设施安全-5-云防火墙-ACA-02-云防火墙快速入门
99 1