目录
一.防火墙的基本概念
二.防火墙的基本功能
三.区域隔离
四.防火墙的基本类型
五. 防火墙的发展历史
六. 防火墙的工作模式及部署类型标准应用:
七. 衡量防火墙性能指标
八.Linux防火墙
九.防火墙基本原理
十.防火墙局限性
十一.防火墙使用的端口号及相关术语
以下是我搜集的十个防火墙厂商简介
一.防火墙的基本概念
定义:是一款具备安全防护功能网络设备
隔离网络:将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护
二.防火墙的基本功能
访问控制攻击防护冗余设计路由、交换日志记录虚拟专网VPNNAT
三.区域隔离
防火墙区域概念: 内部区域
DMZ区域:称为”隔离区”,也称”非军事化区/停火区”
外部区域
四.防火墙的基本类型
网络层防火墙
网络层防火墙可视为一种 IP 封包过滤器,运作在底层的TCP/IP协议堆栈上。可以以枚举的方式只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
应用层防火墙
应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用 FTP 时的数据流都是属于这一层。应用层防火墙可以拦截进出某应用程序的所有封包,并且封锁其他的封包(通常是直接将封包丢弃)。理论上,这一类的防火墙可以完全阻绝外部的数据流进到受保护的机器里。
数据库防火墙
数据库防火墙是一款基于数据库协议分析与控制技术的数据库安全防护系统。基于主动防御机制,实现数据库的访问行为控制、危险操作阻断、可疑行为审计。
数据库防火墙通过SQL协议分析,根据预定义的禁止和许可策略让合法的SQL操作通过,阻断非法违规操作,形成数据库的外围防御圈,实现SQL危险操作的主动预防、实时审计。
数据库防火墙面对来自于外部的入侵行为,提供SQL注入禁止和数据库虚拟补丁包功能。
五. 防火墙的发展历史
1.包过滤防火墙(分组过滤防火墙)
最早的防火墙技术之一,功能简单,配置复杂
根据分组包的源、目的地址,端口号及协议类型,标志位确定是否允许分组包通过。
所根据的信息来源于IP、ICMP、TCP、UDP等协议的数据包头
优点:高效、透明缺点:对管理员要求高、处理信息能力有限
2.状态检测包过滤防火墙
现在主流防火墙,速度快,配置方便,功能较多
从传统包过滤发展而来,除了包过滤检测的特性外,对网络连接设置状态特性加以检测
优点:减少检查工作量,提高效率 连接状态可以简化规则的设置
缺点:对应用层检查不够深入
-
应用(代理)防火墙最早的防火墙技术之二,连接效率低,速度慢
优点:安全性高,检测内容缺点:连接性差,可伸缩性差 -
DPI防火墙(Deep packet Inspection)
未来防火墙的发展方向,能够高速的对第七层数据进行检测
六. 防火墙的工作模式及部署类型标准应用:
1. 透明模式
一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下,用户需要加装防火墙以实现安全区域隔离的要求
2. 路由模型
路由/NAT模式一般用于防火墙当作路由器和NAT设备连接上网的同时,提高安全过滤功能
3. 混杂模型
一般网络情况为透明模式和路由模式的混合
七. 衡量防火墙性能指标
1.吞吐量:在不丢包的情况下单位时间内通过的数据包数量
2.时延:数据包第一个比特进入防火墙到随后一个比特从防火墙输出的时间间隔
3.丢包率:通过防火墙时所丢失数据包数量占所发送数据包的比率
4.并发连接数:防火墙能够同时处理的点对点连接的最大数目
5.新建连接数:在不丢包的情况下每秒可以建立的最大连接数
八.Linux防火墙
Linux 防火墙在企业应用中非常有用,举例如下:
中小企业与网吧里有iptables 作为企业的NAT路由器,可以用来代替传统路由器,而节约成本。
IDC机房一般没有硬件防火墙,IDC机房的服务器可以用Linux 防火墙代替硬件防火墙。
iptables 可以结合squid 作为企业内部上网的透明代理。传统代理需要在浏览器里配置代理服务器信息,而iptables+squid 的透明代理则可以把客户端的请求重定向到代理服务器的端口。客户端不要作任何设置,而感觉不到代理的存在。
将iptables 作为企业NAT 路由器时,可以使用iptables 的扩展模块屏蔽P2P 流量,还可以禁止非法网页。
iptables 可以用于外网IP 向内网IP 映射。
iptables 可以轻松防止轻量级DOS 攻击,比如ping 攻击及SYN 洪水攻击。
综述,Iptables 有两种应用模式:主机防火墙,NAT路由器。
九.防火墙基本原理
对应下图的字节传输流程,可以分为以下几层:
包过滤(Packet filtering):工作在网络层,仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。
应用代理(Application Proxy):工作在应用层,通过编写不同的应用代理程序,实现对应用层数据的检测和分析。
状态检测(Stateful Inspection):工作在2~4层,访问控制方式与1同,但处理的对象不是单个数据包,而是整个连接,通过规则表和连接状态表,综合判断是否允许数据包通过。
完全内容检测(Compelete Content Inspection):工作在2~7层,不仅分析数据包头信息、状态信息,而且对应用层协议进行还原和内容分析,有效防范混合型安全威胁。
图片来源于网络
图片来源于网络
十.防火墙局限性
防火墙虽然是保护网络安全的基础性设施,但是它还存在着一些不易防范的安全威胁:
首先防火墙不能防范未经过防火墙或绕过防火墙的攻击。例如,如果允许从受保护的网络内部向外拨号,一些用户就可能形成与Internet 的直接连接。
防火墙基于数据包包头信息的检测阻断方式,主要对主机提供或请求的服务进行访问控制,无法阻断通过开放端口流入的有害流量,并不是对蠕虫或者黑客攻击的解决方案。
另外,防火墙很难防范来自于网络内部的攻击或滥用。
十一.防火墙使用的端口号及相关术语
80 (TCP):WSD、WebDAV*
161 (UDP):SNMP
427 (UDP):SLP
443 (TCP):对于以下 (HTTPS)
与云存储通信
与数据转换服务通信
发送使用状态
515 (TCP) / 9100 (TCP):对于打印作业
5900 (TCP):对于设备的远程操作
8000 (TCP):REST
8443 (TCP):WSD、REST (HTTPS)
9013 (TCP):获取 MF 系列的设备信息
47545 (UDP):获取设备信息
防火墙的相关术语
主机
保垒主机
双宿主机
数据包过滤
屏蔽路由器
屏蔽主机
屏蔽子网
代理服务器
以下是我搜集的十个防火墙厂商简介
1.思科CISCO防火墙(网络系统解决方案领导品牌,总部美国加利福尼亚州)
思科系统公司(Cisco Systems, Inc.),是互联网解决方案的领先提供者,其设备
和软件产品主要用于连接计算机网络系统。
2.Juniper防火墙 (作为全球领先的联网和安全性解决方案供应商)
Juniper网络公司(中文名:瞻博网络)致力于实现网络商务模式的转型。作为全球领先的联网和安全性解决方案供应商,Juniper网络公司对依赖网络获得战略性收益的客户一直给予密切关注。
3.东软Neusoft 防火墙(中国第一家上市的软件企业,医疗系统软研发领导品牌)
东软是一家以软件技术为核心,提供解决方案、数字化产品和服务的公司,在软件与行业应用的结合、软件与数字化产品的结合、软件人才的培养和咨询服务方面形成了东软独特的经营模式。东软是中国领先的软件与解决方案提供商。
4.SONICWALL防火墙 (SonicWALL, Inc成立于 1991 年,十佳防火墙品牌)
SonicWALL 互联网安全设备为各类组织提供一流的安全平台,保护其网络免受互联网安全威胁。
5.WatchGuard 防火墙(为全球几十万家企业提供了大量可靠且易于管理的安全设备)
WGRD全球首创专用安全系统,在1997年首家将应用层安全运用到系统,并在2004年全球首创可全面升级的整合安全网关。
6.飞塔Fortinet 防火墙(Fortinet 是多层威胁防御系统的创新者和先锋)
7.H3C防火墙(专业IP技术与产品制造服务商、杭州华三通信)
H3C秉承“开放,融合”的发展趋势,提出了IToIP理念,通过中间件对网络资源,计算资源,存储资源等进行整合管理和优化,为用户构建一个以业务应用为中心的动态IT架构,将IP与IT有机地融合。
8. NETGEAR网件防火墙(中小规模网络解决方案,美国品牌,十佳防火墙品牌)
美国网件(NETGEAR)一直致力于网络的技术创新,追求品质与应用并重的理念,为全球企业用户提供使用简便的高质量网络解决方案。
9.阿姆瑞特防火墙(阿姆瑞特(亚洲)网络有限公司,十佳防火墙品牌)
阿姆瑞特网络有限公司是一家专业从事网络安全产品研发和服务的跨国IT企业,属于阿姆瑞特(国际)集团的分支机构。集团总部设在瑞典,拥有雄厚的公司实力及技术优势,多年来一直致力于网络安全产品的研发和服务,在全球范围设有多个研发机构和销售网络,为不同的客户提供最先进的、特色化的安全产品和服务。
10.启明星辰防火墙(启明星辰公司成立于1996年,十佳防火墙品牌)
启明星辰信息技术股份有限公司是国内最具实力的网络安全产品、可信安全管理平台、安全服务与解决方案的综合提供商,正稳步向国际网络安全领导企业行列迈进
文章知识点与官方知识档案匹配,可进一步学习相关知识云原生入门技能树首页概览8829 人正在系统学习中
来源:网漏
声明:本站部分文章及图片转载于互联网,内容版权归原作者所有,如本站任何资料有侵权请您尽早请联系jinwei@zod.com.cn进行处理,非常感谢!