用户必须依赖两方面的安全支持。一个是防火墙制造商,另一个是操作系统制造商。
————————————————– ————————————————– ————————
第四代防火墙
具有安全操作系统的防火墙
特征
防火墙供应商拥有操作系统源代码并且可以实现安全内核。
向安全内核实现添加纠正措施。这意味着删除不必要的系统功能并添加内核功能以提高安全性。
每个服务器和子系统都得到安全处理。一旦黑客侵入服务器,他们就会被隔离在该服务器内,不会对网络的其余部分构成威胁。
功能包括包过滤、应用网关、电路级网关,以及加密和认证功能。
透明度好,使用方便
————————————————– ————————————————– ————————
常见防火墙产品
个人防火墙
天网、瑞星、诺顿、NOD32
软件防火墙
检查点防火墙-1
微软ISA服务器
硬件防火墙
适用于小型企业的Cisco IOS 防火墙
NetScreen 的高端防火墙采用专用集成电路(ASIC) 芯片
国内安世、华为、清华等均采用网络处理器(NP)芯片
————————————————– ———————————————————–
一些常见的防火墙类型
————————————————– ——–
组过滤防火墙
双主主机防火墙
阻止主机防火墙
阻止子网防火墙
————————————————– ———-
组过滤防火墙
也称为包过滤防火墙或屏蔽路由器
首先检查经过路由器的数据包的源地址、目的地址、TCP端口、UDP端口等参数,并根据策略确定是否允许数据包通过,并进行路由和转发。转发。
特征
作为内部和外部连接的唯一通道,屏蔽路由器要求所有数据包都通过这里的检查。
实施IP层安全
有缺点
是网络内的“单点故障”
不支持有效的用户认证,不提供有用的日志
安全性低
————————————————– ————————————————– ————————
双宿主机防火墙(不适合一些灵活性要求高的情况)
只需使用带有两个网卡的堡垒主机作为防火墙即可。两块网卡分别连接内网和外网。
堡垒主机运行防火墙软件并使用代理服务转发消息并提供服务。
堡垒主机角色
阻止IP层通信
实施应用层安全
中间传递函数
的优点和缺点
堡垒主机上的系统软件可用于身份认证和系统日志维护,有利于安全审计。
仍然是“单点故障”
隔离Intranet 和Internet 之间的所有直接连接
代表产品:ISA防火墙
Microsoft 互联网安全和加速服务器(ISA)
————————————————– ————————————————– ————————
阻止主机防火墙
包过滤路由器连接外网
内网安装一台运行网关软件的堡垒主机
提供更高级别的安全性
正确配置的过滤路由器是防火墙安全的关键。
路由表必须严格保护
————————————————– ————————————————– ————————
代理服务器技术
代理服务技术
它是运行在连接内外网络的主机(堡垒主机)上的应用程序,是一种比较先进的防火墙技术。
工作过程
1. 从您的工作站向Web 服务器请求网页
2. 检查请求是否符合安全规则
3. 将Web 请求从代理服务器重新提交到Web 服务器。
4. Web服务器响应代理服务器的Web请求
5. 网页响应从代理服务器发送到请求工作站。
主要优点
内部网络拓扑等关键信息不易泄露,减少了黑客攻击所需的信息量。
您可以实施用户身份验证、详细日志记录、审计跟踪、数据加密等。
针对特定协议和应用程序的功能和过滤。同时,如果发现攻击迹象,
当攻击发生时,网络管理员会收到警报并维护攻击痕迹以确保安全。
性欲较高。
主要缺点
不同的应用层协议需要单独的应用代理,并且不能自动支持新的网络应用。
有些代理还需要相应的客户端和服务器软件来支持代理
用户在通过代理访问互联网之前必须具体学习如何使用该程序。
性能下降
————————————————– ————————————————– ——————-
状态检测技术
动态状态表
跟踪每个网络会话的状态并检查每个数据包
仅基于规则表,它还考虑数据包是否符合会话状态。
状态
检测模块(检测引擎)
状态检测防火墙采用在网关处应用的网络安全策略。
该软件引擎称为发现模块。
您可以提取OSI各层的相关信息,而不影响网络的正常运行。
创建相关数据、实施监控并动态存储以供将来的安全规划。
完整策略参考
特征
这既提供了控制代理服务的灵活性,又提供了数据包过滤的效率。
工作过程
对于新创建的应用程序连接,状态检测会检查预配置的安全规则。
允许符合规则的连接通过并记录连接。
生成有关连接的相关信息、状态表以及有关连接的大量后续数据
只要数据包符合状态表,就可以通过规则表而无需经过检查。
主要优点
高安全性(在数据链路层和网络层之间运行,“状态感知”功能)
效率(直接查看连接后续数据包的状态)
应用范围广(支持基于无连接协议的应用)
主要缺点
状态检测防火墙无法防止DDoS 攻击、病毒传播问题和高级应用程序入侵问题(例如应用程序层内容过滤)。
————————————————– ————————————————– ———————–
网络地址转换技术
网络地址转换
网络地址解读
只需将一个IP 地址替换为另一个IP 地址即可
主效应
隐藏内网IP地址
解决地址短缺问题
消息
NAT 本身并不是一个安全的解决方案;它仅更改数据包的最外层IP 地址,因此NAT 通常集成到防火墙系统中。
斯纳特
静态和动态网络地址转换
源网络地址转换和目的网络地址转换
NAT的三种方法
M-1:多个内部地址转换为一个IP地址
1-1:将内部地址转换为IP地址
M-N:多个内部地址转换为N个IP地址
静态网络地址转换
内部网络上的每台主机都永久映射到外部网络上的有效地址。
特点:性能好,无需维护地址转换状态表
动态网络地址转换
可用的有效IP 地址是范围,内部网络地址范围是:
合法的IP范围。如果进行地址转换时所有合法IP 都被占用,则适用这种情况。
由于没有合法地址可供分配,来自内部网络的新请求会丢失。
打败
解决方案:PAT(端口地址转换/翻译)
特点:功能强大,但需要维护转换状态表
源网络地址转换
更改数据包IP头中的数据源地址(通常
私有地址访问Internet时转换私有地址
(翻译成合法的互联网地址)
目标网络地址转换
更改数据包的IP标头中的数据目标地址(通常是为了保护)
在防火墙后面的服务器上
————————————————– ————————————————–
防火墙限制
网络安全通常基于网络服务的开放性和灵活性。
对于价格
使用防火墙还会损害网络功能。
防火墙隔离功能可确保您的内部网络安全并受到保护。
外部网络上的信息交换被阻止。
连接到防火墙的各种信息服务的代理软件
网络管理开销也会减慢信息传输速度。
对于分布式应用程序,使用防火墙是不切实际的。
防火墙只是整个网络安全防护体系的一部分。
防火墙并非万无一失。
防火墙无法被绕过;只有通过防火墙才能防止未经授权的访问和攻击。
访问和攻击都是无能为力的。
无法处理来自内部网络的攻击和安全问题。
我们无法阻止您发送感染病毒的文件。
无法防止因策略不当或配置错误而造成的安全威胁。
它不能防止自然或人为的破坏。
您无法阻止自身安全漏洞的威胁。
————————————————
版权声明:本文为博主原创文章,如需转载,请注明原文出处链接及本声明。
原文链接:https://blog.csdn.net/weixin_63022020/article/details/135272003
以上#Firewall技术笔记相关内容摘自网络,仅供参考。相关信息请参见官方公告。
原创文章,作者:CSDN,如若转载,请注明出处:https://www.sudun.com/ask/93000.html