防火墙原理与定义

本文涉及的产品
云防火墙,500元 1000GB
访问控制,不限时长
简介: 1)官方定义:防火墙,用于保护一个网络免受另一个网络的攻击和入侵行为,其本质是控制2)网络安全市场,存在一种设备名为ISR,全称叫集成多业务路由器Router3)现在市面上的防火墙,主要以以下几种形态存在 : ①硬件防火墙(独立) ②防火墙模块(能够集成到支持的设备中) ③虚拟化防火墙,(基于软件层面实现的一种应用)4)为何虚拟防火墙只是一个趋势,没有成为主流? ①虚拟防火墙性能和稳定性上的限制,目前硬件防火墙在这两点是优于虚拟防火墙的

防火墙原理与定义(一)

目录


一、什么是防火墙

1)官方定义:防火墙,用于保护一个网络免受另一个网络的攻击和入侵行为,其本质是控制

2)网络安全市场,存在一种设备名为ISR,全称叫集成多业务路由器Router

3)现在市面上的防火墙,主要以以下几种形态存在 :

①硬件防火墙(独立)

②防火墙模块(能够集成到支持的设备中)

③虚拟化防火墙,(基于软件层面实现的一种应用)

4)为何虚拟防火墙只是一个趋势,没有成为主流?

①虚拟防火墙性能和稳定性上的限制,目前硬件防火墙在这两点是优于虚拟防火墙的

二、防火墙发展历史

1)第一代,包过滤防火墙

①访问控制列表Access Control List

在Routing&Switching主要学习访问控制列表有两种

-标准访问控制列表,简单,高效,但是控制元素单一,只能基于IP

-扩展访问控制列表,相对标准访问控制列表复杂,但是挖制元素更为丰富,例如基于源目IP地址,源目端口号,协议

2)第二代,代理防火墙

①类似于中间人(中介) ,能够代替请求发起者,向被请求者发送数据包

②功能单一,性能有限,没有成为防火墙市场主流

③目前,代理防火墙模型被用于SSL VPN中

3)第三代,状态检测防火墙

①什么是初始化流量?

整个沟通开始的第-个数据包,就是初始化流量,或叫首包流量

②什么是状态化表项?

当首包穿越防火墙时,防火墙会记录该数据包的信息(例如源目IP地址、源目端口号、协议)

然后把以上信息存放到状态化表项

③什么是状态检测技术?

此时,返回的流量,防火墙首先检查是否存在匹配该流量的状态化表项

如果有,则流量直接放行

如果没有,检查访问控制策略,

若访问控制策略放行,则流量可以转发

若访问控制策略没有放行,则流量直接被丢弃

④状态检测防火墙是由哪一个安全厂商首推的概念?

CheckPoint,国际防火墙排名第一的安全厂商

4)下一代防火墙

①现在安全厂商大力推荐的一个产品

②下一代防火墙特征:

一个数据包,一条策略,包含所有检查项的执行

趋势:可视化

③下一代防火墙是由哪一个安全厂商首推的概念?

PaloAlto,国际防火墙排名第一的安全厂商

三、华为安全产品线

1)不同层次的防火墙,区别在于性能,而不在于功能

2)判断防火墙性能的优劣,不能看单纯的吞吐量,推荐参看多协议多安全技术同时激活之后的吞吐量

3)大部分安全厂商的高端防火墙都是模块化防火墙,例如华为的9500系列的USG/思科的9000系列的Firepower

4)生产环境里面,设备版本I0S,需要用最稳定的,而不是最新的!

5)华为的防火墙,业务日志功能并非默认,而是通过选配日志硬盘,安装之后才支持日志功能

6)目前华为安全产品线主要有以下:

①低端系列6100

②中低端系列6300

③高端系列9500

扩展:关于虚拟化的一些有名的厂商平台和技术

①VMware

-VM Workstation个人家庭

-VM vSphere企业版针对服务器

②微软Hyper-v

扩展:光电复用模块

①存在重复口序号的模块

②相同序号的两个接口只能使用其中一个

③常出现在广电符合接口模块

四、防火墙区域(Firewall zone)

1)公司需要依据“网络可信度”来划分区域

2)安全工程师基于不同的区域,可以通过防火墙部署不同的访问控制策略

3)华为防火墙认为,同一个安全区域的流量是不存在风险的,直接通

4)华为USG防火墙,默认情况下,存在四个区域:

①Untrus t外网

②Trust 内网

③DMZ 隔离区域/非军事化区域

大部分情况下,DMz区域用于存放提供对外访问设备

Untrust、Trust、 DMz三个区域工程师都能在防火墙执行配置和修改

④Local 本地

Local区域无法执行配置和修改,且默认情况下,防火墙的所有接口都属于本地区域

默认情况下,所有抵达防火墙的流量都是被丢弃的,需要执行策略放行

凡是防火墙主动发送的数据包,都认为从LOCAL区域发出

扩展:思科防火墙区域

1)思科ASA防火墙默认也存在四个区域

①Inside 内网

②Outside 外网

③DMZ 同华为

④Local 同华为

2)默认情况下,思科ASA防火墙的本地流量是通的,不需要放行,和华为规则相反

3)思科防火墙认为,同一个安全区域的流量是存在风险的,默认不允许通,可以通过配置改为放行

验证

默认情况下,所有抵达防火墙的流量都是被丢弃的,需要执行策略放行

HUAWEI防火墙默认:所有到他的流量都是被丢弃的

image.png

执行策略放行:管理口的ping包被permit

image.png

扩展:为何华为防火墙图形化界面登录的地址后面需要跟上8443端口号?

1)默认情况下,HTTPS使用TCP端口号443

2)因为华为防火墙出于两个原因的考虑

①出于安全考虑,不使用默认的端口号,而是使用更改的端口号8443

②为了避免与其它功能使用的端口号冲突,例如SSLVPN使用的端口号就是443

5)对于华为USG防火墙而言,新建的安全策略,是否立刻生效?答案:是

6)如果安全策略需要管理内容安全(UTM) 的相关策略,则该策略必须要提交才能生效

7)使用Console连接防火墙,有哪些注意点?

1)新买的console线, 需要先把驱动给安装好,避免到了现场没有网络无法正常使用

2)连接上设备后,前往计算机管理>设备管理器>端口,查找新显示的COM口

3)在连接工具上新建连接,以secureCRT为例:

image.png



相关文章
|
3月前
|
安全 Linux 网络安全
"揭秘网络安全神秘面纱:防火墙基本原理大揭秘,小白也能轻松掌握!"
【8月更文挑战第19天】防火墙是网络防护的关键,像屏障般阻挡未授权访问。对新手而言,其原理可能不易理解。本文通过三个生活化的案例——家庭网络的守护、企业访问控制及防范DDoS攻击,搭配`iptables`示例,轻松阐述防火墙基础。学会这些,即便是初学者也能为网络安全贡献力量。
40 0
|
3月前
|
安全 网络协议 网络安全
入门防火墙基本原理,还是得看这篇!小白一看就懂!
入门防火墙基本原理,还是得看这篇!小白一看就懂!
|
3月前
|
网络协议 Ubuntu Linux
Iptables 防火墙的工作原理
Iptables 防火墙的工作原理
44 0
|
6月前
|
机器学习/深度学习 人工智能 运维
Web应用防火墙是什么?分享工作原理及部署建议
Web应用防火墙是什么?分享工作原理及部署建议
153 0
|
负载均衡 安全 网络协议
01-基础设施安全-3-WEB应用防火墙-ACA-02-核心能力与接入原理
01-基础设施安全-3-WEB应用防火墙-ACA-02-核心能力与接入原理
180 0
|
网络协议 Shell 网络安全
防火墙原理讲解——练习实验
防火墙原理讲解——练习实验
128 0
防火墙原理讲解——练习实验
|
网络协议 网络安全
防火墙nat豁免与控制原理讲解
防火墙nat豁免与控制原理讲解
432 0
|
网络协议 网络安全 数据安全/隐私保护
防火墙原理讲解(二)
防火墙原理讲解(二)
134 0
|
Linux 网络安全
iptables防火墙工作原理及简单配置访问策略
iptables只是管理包过滤规则的工具,可以添加或删除包过滤的规则,真正执行包过滤规则的是netfilter netfilter是Linux核心中的一个通用架构,内部提供一些列的表,每个表由若干条链组成,每条链由一条或多条规则组成,也就是我们常说的四表五链 四表
166 0
|
网络安全 安全 网络架构
带你读《网络防御与安全对策:原理与实践(原书第3版)》之三:防火墙基础
本书全面介绍了网络防御和保护网络的方法,内容包括网络安全的基本知识、虚拟专用网络、物理安全和灾备、恶意软件防范以及防火墙和入侵检测系统,加密的基础知识,对网络的攻击、用于确保安全的设备和技术,安全策略的概貌如何评估网络安全,基于计算机的取证等。每一章的末尾都给出了多项选择题、练习、项目和一个案例研究。