加入收藏 | 设为首页 | 会员中心 | 我要投稿 应用网_阳江站长网 (https://www.0662zz.com/)- 科技、建站、经验、云计算、5G、大数据,站长网!
当前位置: 首页 > 综合聚焦 > 移动互联 > 应用 > 正文

防火墙的基本运用

发布时间:2022-10-18 11:03:49 所属栏目:应用 来源:
导读:  1.什么是防火墙?

  防火墙也称为防护墙,简单来说就是位于内部网络与外部网络之间的网络安全系统。这是一项信息安全的防护系统,依照特定的规则,允许或者限制传输的数据通过。

  在网络中,防火墙
  1.什么是防火墙?
 
  防火墙也称为防护墙,简单来说就是位于内部网络与外部网络之间的网络安全系统。这是一项信息安全的防护系统,依照特定的规则,允许或者限制传输的数据通过。
 
  在网络中,防火墙过滤的就是承载通讯数据的通讯包。实际上是一种隔离技术。
 
  总的来说,防火墙就是一种(非授权用户在区域间)并且检查过滤(对受保护网络有害的流量或者数据包)的设备。
 
  2.状态防火墙的工作原理?
 
  状态防火墙使用各种会话表来追踪TCP会话和UDP伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接,以对UDP连接过程进行状态监控的会话。
 
  状态防火墙使用的是会话追踪技术 ----处于网络层和传输层之间
 
  在包过滤(ACL表)的基础上增加一个会话表,数据包需要查看会话表来实现匹配。会话表可以用hash算法处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
 
  首包机制
 
  颗粒度细
 
  速度快
 
  UTM---深度包检查技术---应用层
 
  把应用网关和ISP设备在状态防火墙的基础上进行整合和统一。
 
  把原来分散的设备进行统一管理,有利于节约资金和学习成本。
 
  统一有利于各设备之间的协作。
 
  设备负荷较大并且检查也是逐个功能模块来进行的,(在一个大的框架下,同样是分开的)速度慢。
 
  防火墙的基本原理:

  包过滤:工作在网络层,仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。
 
  同时包过滤防火墙使用的是访问控制列表技术,其优点是简单、速 度快,但是检查的颗粒度“粗”
 
  应用代理:工作在应用层应用防火墙,通过编写不同的应用代理程序,实现对应用层数据的检测和分析。
 
  状态检测:工作在数据链路层和传输层之间,访问控制方式与包过滤差不多,但是处理对象不是单个数据包,而是整个连接,通过规则表和连接状态表,综合判断是否允许数据包通过。
 
  完全内容检测:工作在数据链路层和应用层之间,不仅要分析数据包头信息、状态信息,而且对应用层协议进行还原和内容分析,有效防范混合型安全威胁。
 
  3.防火墙如何处理双通道协议?
 
  “对于多通道协议比如FTP、VOIP等协议,通道是随机协商出来的,防火墙不能设置策略也无法形成会话表”。
 
  解决的办法:
 
  使用ASPF技术,查看协商端口号,并且动态建立server-map表放过协商通道的数据;
 
  ASPF(Application Specific Packet Filter,针对应用层的包过滤)也叫基于状态的报文过滤,ASPF功能可以自动检测某些报文的应用层信息,并且根据应用层信息放开相应的访问规则,开起ASPF功能后,防火墙通过检测协商报文的应用层携带的地址和端口信息,自动生成相应的server-map表,用于放行后续建立通道的报文,相当于创建了一条精细的“安全策略”。
 
  4.防火墙如何处理地址转换nat?
 
  NAT技术的基本原理:
 
  NAT技术通过对IP报文头中的源地址或目的地址进行转换,可以使得大量的私网IP地址通过共享少量的公网IP地址来访问公网。
 
  NAT是将IP报文报头中的IP地址转换为另一个IP地址的过程,一般的NAT转换设备都是维护这一张地址转换表,所有经过NAT的设备(处于内部网络和外部网络的连接处,常见的设备有:路由器、防火墙等)并且需要进行地址转换的报文,都会通过这个表做相应的修改,地址转换的机制分为两个部分。
 
  1.内部网络主机的IP地址和端口转换为NAT转换设备外部网络地址和端口。
 
  2.外部网络地址和端口转换为NAT转换设备内部网络主机的IP地址和端口。
 
  源NAT地址池方式:
 
  不带端口转换的地址池方式(no-pat)
 
  通过配置NAT地址池来实现,NAT地址池中可以包含多个公网地址,转换时只转换地址,不转换端口,实现私网地址到公网地址一对一转换。如果地址池中的地址已经全部分配出去了,则剩余内网主机访问外网是不会进行NAT转换,直到地址池中有空闲地址时才会进行NAT转换。
 
  带端口转换的地址池方式(pat)
 
  通过配置NAT地址池来实现,NAT地址池中可以包含一个或多个公网地址。转换时同时转换地址和端口,即可实现多个私网地址共用一个或者多个公网地址的需求(多对一) 由于在地址转换的同时还要进行端口的转换,可以实现多个私网用户共同使用一个公网IP地址上网,防火墙根据端口区分不同的用户。
 
  总结: 不带端口:实现一对一的IP地址转换,端口不进行转换。
 
  带端口:将不同内部地址映射到同一公有地址的不同端口号上,实现多对一地址转换。
 
  easy ip (出接口地址方式)
 
  直接使用接口的公网地址作为转换后的地址,不需要配置的NAT地址池,转换时同时转换地址和端口,即可实现多个私网地址共用外网接口的公网地址的需求。(多对一)
 
  NAT ALG(应用级网关)
 
  特定的应用协议的转换代理,可以完成应用层数据中携带的地址及端口号信息的转换。
 
  5.有哪些防火墙,以及防火墙的 技术的分类。
 
  常见的有:
 
  HiSecEngineUSG12000系列AI防火墙
 
  HiSecEngineUSG6600E系列AI防火墙(盒式)
 
  分类:
 
  1、软、硬件形式分类:软件防火墙、硬件防火墙、芯片级防火墙。
 
  2、防火墙技术分类:包过滤型防火墙、应用代理型防火墙 。
 
  3、防火墙结构分类:单一主机防火墙、路由器集成式防火墙、分布式防火墙。
 
  4、防火墙的应用部署位置分类:边界防火墙、个人防火墙、混合防火墙。
 
  5、防火墙性能分类:百兆级防火墙、千兆级防火墙。
 
  6、防火墙使用方法分类:网络层防火墙、物理层防火墙、链路层防火墙。
 

(编辑:应用网_阳江站长网)

【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容!
    相关内容
      推荐文章
      站长推荐
      热点阅读

      【免责声明】本站内容转载自互联网,其发布内容言论不代表本站观点,如果其链接、内容的侵犯您的权益,烦请提交相关链接至邮箱bqsm@foxmail.com我们将及时予以处理。

      建议您使用1920×1080分辨率、谷歌浏览器Google Chrome、Microsoft Edge以获得本站的最佳浏览效果

      Copygight © 2013-2022 https://www.0662zz.com/ All Rights Reserved. 应用网_阳江站长网

      ICP备案:浙ICP备12044117号 浙公网安备 33038102331048号