哪家企业做网站,网站后台系统功能,注册网站要多久,谷歌英文网站推广二、防御保护---防火墙基础知识篇 一、什么是防火墙二、防火墙的发展史1.包过滤防火墙(一个严格的规则表)2.应用代理防火墙(每个应用添加代理)3.状态检测防火墙(首次检查建立会话表)3.入侵检测系统(IDS)-----网络摄像头4.入侵防御系统(IPS)-----抵御2-7层已知威胁5.防病毒网关(… 二、防御保护---防火墙基础知识篇 一、什么是防火墙二、防火墙的发展史1.包过滤防火墙(一个严格的规则表)2.应用代理防火墙(每个应用添加代理)3.状态检测防火墙(首次检查建立会话表)3.入侵检测系统(IDS)-----网络摄像头4.入侵防御系统(IPS)-----抵御2-7层已知威胁5.防病毒网关(AV)-----基于网络测识别病毒文件6.Web应用防火墙(WAF)-----专门用来保护web应用6.统一威胁管理(UTM)-----多合一安全网关7.下一代防火墙(NGFW)-----升级版的UTM 三、防火墙的控制1.带内管理2.带外管理 三、防火墙的安全区域 一、什么是防火墙
墙始于防忠于守。自古至今墙予人以安全之意。
防火墙顾名思义阻挡的是火此词起源于建筑领域正是用来隔离火灾阻止火势从一个区域蔓延到另一个区域。 引入到通信领域防火墙也正是形象化地体现了这一特点防火墙这一具体设备通常用于两个网络之间的隔离。当然这种隔离是高明的隔离的是“火”的蔓延而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击而“人”是指正常的通信报文。
那么用通信语言来定义防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性灵活应用于网络边界、子网隔离等位置具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。
防火墙的主要职责在于控制和防护 — 安全策略 防火墙可以根据安全策略来抓取流量之后做出对应的动作。
二、防火墙的发展史
与人类的进化史相似防火墙的发展历史也经历了从低级到高级、从功能简单到功能复杂的过程。在这一过程中网络技术的不断发展新需求的不断提出推动着防火墙向前发展演进。
1.包过滤防火墙(一个严格的规则表) 1很多安全风险集中在应用层的所以仅关注三四层的数据无法做到完全隔离安全风险 2逐包进行包过滤检测将导致防火墙的转发效率过低成为网络中的瓶颈。 在ACL列表中华为体系下末尾是没有隐含规则的即如果匹配不到ACL列表则认为ACL列表不存在之前可以通过则还可以通过但是在防火墙的安全策略中为了保证安全末尾会隐含一条拒绝所有的规则即只要没有放通的流量都是不能通过的。
2.应用代理防火墙(每个应用添加代理) 1因为需要防火墙进行先一步安全识别所以转发效率会降低原来的三层握手就会变成6次握手 2可伸缩性差每一种应用程序需要代理的话都需要开发对应对应的代理功能如果没有开发则无法进行代理。
3.状态检测防火墙(首次检查建立会话表) “会话表技术” — 首包检测
3.入侵检测系统(IDS)-----网络摄像头 IDS — 一种侧重于风险管理的安全机制 — 滞后性
4.入侵防御系统(IPS)-----抵御2-7层已知威胁 5.防病毒网关(AV)-----基于网络测识别病毒文件 6.Web应用防火墙(WAF)-----专门用来保护web应用 6.统一威胁管理(UTM)-----多合一安全网关 在UTM中各功能模块是串联工作所以检测效率并没有得到提升。但是因为继承在了一台设备中所以维护成本得到降低。
7.下一代防火墙(NGFW)-----升级版的UTM 改进点核心相较于之前UTM中各模块的串联部署变为了并联部署仅需要一次检测所有功能模块都可以做出对应的处理。大大提高了工作效率。 从防火墙的发展历史中我们可以看到以下三个最主要的特点
第一点是访问控制越来越精确。从最初的简单访问控制到基于会话的访问控制再到下一代防火墙上基于应用、用户和内容来做访问控制都是为了实现更有效更精确地访问控制。第二点是防护能力越来越强。从早期的隔离功能到逐渐增加了入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能防护手段越来越多防护的范围也越来越广。第三点是性能越来越高。随着网络中业务流量爆炸式增长对性能的需求也越来越高各个防火墙厂商通过对硬件和软件架构的不断改进使防火墙的处理性能与业务流量相匹配。
三、防火墙的控制
1.带内管理
通过网络环境对设备进行控制 — telnetsshweb 登录设备和被登录设备之间网络需要联通
2.带外管理
console线mini usb线 华为防火墙的MGMT接口G0/0/0出厂时默认配置的有IP地址192.168.0.1/24并且该接口默认开启了DHCP和web登录的功能方便进行web管理。
防火墙默认登录账号密码admin/Admin123
[USG6000V1-GigabitEthernet0/0/0]service-manage all permit --- 开启管理口web登录服务三、防火墙的安全区域
防火墙上引入了一个重要的概念安全区域Security Zone简称为区域Zone。安全区域是一个或多个接口的集合是防火墙区别于路由器的主要特性。防火墙通过安全区域来划分网络、标识报文流动的“路线”当报文在不同的安全区域之间流动时才会触发安全检查1。
我们都知道防火墙通过接口来连接网络将接口划分到安全区域后通过接口就把安全区域和网络关联起来。通常说某个安全区域就可以表示该安全区域中接口所连接的网络。接口、网络和安全区域的关系所下图所示。 Trust区域— 该区域内网络的受信任程度高一般企业内网会被规划在trust区域中 Untrust区域— 一般公网区域被规划在untrust区域中 Local区域 — 指设备本身。凡是由设备构造并主动发出的报文均可以认为是从local区域发出的凡是需要设备响应并处理的报文均可以认为是由Local区接受。我们无法修改local区的配置并且我们无法将接口划入该区域。接口本身属于该区域。 Dmz区域 — 非军事化管理区域 — 这个区域主要是为内网的服务器所设定的区域。这些服务器本 身在内网但是需要对外提供服务。他们相当于处于内网和外网之间的区域。所以这个区域就代表是严格管理和松散管理区域之间的部分管理区域。
优先级 — 1 - 100 — 越大越优 流量从优先级高的区域到优先级低的区域 — 出方向outbound 流量从优先级低的区域到高的区域 — 入方向inbound 默认情况下报文在不同的安全区域之间流动时才会触发安全检查在同一个安全区域中流动时不会触发安全检查。同时华为的防火墙也支持对同一个安全区域内经过防火墙的流量进行安全检查更加灵活实用。
