防火墙原理
防火墙的概述
防火墙的定义
防火墙是一款具备安全防护功能的网络设备。
防火墙形态
软件防火墙:360、瑞星等等 硬件防火墙
防火墙主要作用
作用:隔离区域/网络隔离/区域隔离 区域隔离:将需要保护的网络与不可信任的网络隔离,对内部信息进行安全防护!
防火墙与路由器得根本区别:
1、具有基本得防御能力(2-4层,NGFW2-5) 2、路由器配通路由,全网互通! 防火墙配通路由,默认全部禁止通过
防火墙的基本功能
- 区域隔离
- 策略/访问控制ACL
- 攻击防护(DDOS)(重心是防止基于2,3,4层得攻击)
- 冗余设计
- 日志记录
- 路由、交换
- VPN
- NAT(源转换=PAT、目标转换==端口映射)
防火墙的区域隔离
防火墙的区域概念
一般防火墙将网络分为3个区域: 信任区域:Trust / Inside DMZ区域:隔离区,也称为非军事化区域/停火区 非信任区域:Untrust / Outside
区域间通信
默认情况下,区域间通信是完全被屏蔽! 区域间需要写策略,才能放行数据!而且是有放行方向的!
如何写策略
一般都会采用如何几个策略: 1、inside -- to -- outside : 全部放行 2、inside -- to -- DMZ :全部放行 3、DMZ -- to -- Outside :全部放行 结果:高区域可以访问低区域,低区域不能访问高区域
为什么设置DMZ区域?
当公司有需要对外发布服务器的时候,将服务器放置到DMZ区域、并写放行策略:outside -- to -- DMZ,一旦DMZ区域被敌人攻破,由于DMZ区域为隔离区域,不会进一步殃及破坏inside区域,所以设置DMZ区域是为了保护inside区域。
路由器和防火墙的区别
路由器:配置好IP和路由,默认全网互通! 防火墙:配置好IP和路由,区域间完全被隔离,禁止通信!·3 三、防火墙的历史发展和分类 包过滤防火墙(早期的防火墙) 应用代理防火墙(早期的防火墙)proxy 状态检测防火墙(目前主流防火墙)(2-4层) 高级应用防火墙(NGFW防火墙/DPI防火墙)(目前主流防火墙)(2-5层,2-7层)
包过滤防火墙(早期的防火墙)
只能基于IP与端口号对数据进行过滤、不能对应用层数据做过滤 不够智能,外网回来的包,不能识别是回包,还是主动发的包!
代理防火墙
特点:可以基于应用层对数据过滤,所谓代理很麻烦,大大降低网络通信效率!
状态检测防火墙
主流防火墙,智能的检测回包机制!早期的状态检测防火墙依然只能对2/3/4层过滤 状态检测防火墙数据处理流程图:
高级应用防火墙
高级应用防火墙DPI防火墙Deep Packet Inspection 在状态检测防火墙的基础上,增加了应用层数据深度检测模块 未来的一个发展方向!能够高速高效的对应用层数据进行过滤!
防火墙的工作模式与部署位置
路由模式
路由模式:防火墙的端口设置为3层端口,防火墙工作在三层路由器模式 路由模式防火墙可以改变网络结构! 一般路由模式的防火墙部署在公司总出口
透明模式
透明模式:防火墙的端口设置为2层端口,防火墙工作在二层交换机模式 透明模式防火墙不会改变网络结构! 一般透明模式的防火墙部署在内部链路上,来保护整个内部或者局部设备! 默认eth0端口厂家已经配置好IP了,且IP是:192.168.1.254/24 同时eth0端口默认也开启了443端口,一般伪装成8080 然后打开IE或者chrome浏览器,输入:https://192.168.1.254:8080 用户名:superman 密码:talent
混杂模式
