“防盗防骗防火墙!”
今天老李就来聊聊防火墙。
从这张图片看你觉得防火墙是啥?
防火墙其实不神秘,因为充当防火墙角色的人一直都在默默地为我们的工作和生活提供安全保障服务——他们就是我们可爱可敬的门卫(当然,这里说的是全心全意为人民服务的门卫)!
负责任的小区门卫是保护我们安全的守护者
拿门卫打比方,是因为他们的工作模式和防火墙的工作模式实在太相似了!我们可以回想一下门卫的工作流程。
当有来访者需要进入小区,经过门卫室的时候,门卫会:
询问和登记来访者的来处(源地址)、身份证号码(物理地址)
登记受访者的具体楼栋和房号(目的地址——也是一个逻辑地址)和姓名(由于小区业主的身份证是在物业处登记过的,相当于确认了身份证号码——这又是一个妥妥的物理地址!)
确认真实性(确认真实性一般的做法,是通过小区的对讲或者可视电话系统直接询问受访者是否与来访者认识或者提前约定来访者上门拜访,并获得受访者证实——这实际上是一个可操作的安全策略,而且门卫自己就能决定要这么做)
真实性确认后放行进入,否则拒绝进入(在此之前,来访者和受访者之间是没法面对面接触的——相当于处在“切断对接”状态)。
之所以把每一步分开写清楚,是为了让大家能够看清楚门卫处理问题的每一个细节,当然,这里的步骤可能太过理想化或者严苛,但从严格意义来说,负责任的门卫为了小区的安全,是应该这么执行的。
要进入小区需要停车检查
现在,老李就一步一步地为大家分析这个过程。
首先,第一步和第二步实际上做了两个事情,第一个事情和交换机/路由器很相似,就是有“人物+地址”,源地址、目的地址、物理地址还有逻辑地址,全部都出现了,这完全就和交换机/路由器的工作模式一样嘛,但是,我还是要说但是!但是不一样的是:来访者的动作被记录了!!!这种记录来访者动作的操作,在设备里边叫“日志”,也就是说来访者的访问信息是收到监控的!
其次,第三步和第四步实际上也是做了两个事情,第一个事情是做“真实性确认”,为啥要做?因为刚开始我们说的“防骗”!而引申出来的含义,不仅仅是“防骗”那么简单,而是为了保证受访者安全必须制订的一个策略!这个策略首先是确认来访者的身份,其次是来访者与受访者是否认识或提前约定见面;第二个事情是确认真实性以前,来访者是被拒之门外的,即来访者和受访者是“切断对接”状态的,这个状态非常重要,是防火墙和路由器在网络连接工作模式上的根本区别。
第三,从整个过程上看,门卫的工作实际上起到了一个过滤的作用,即确认来访者是否“安全”,如果“安全”,则进入小区,如果“不安全”,则拒绝进入,当然,确认是否安全的标准及做法,就是上边“其次”部分所分析的内容。
为啥要把这些内容分解得如此详细?因为上面三点分析的以下细节,都是防火墙最基本的功能:
完全具备数据交换(交换机)及指路的功能(部分路由器功能)
具备安全日志功能便于事后的安全行为分析和安全风险管控
制定可行的安全策略且具体执行
在执行安全操作策略过程中网络连接是中断的,只有符合安全策略标准的源地址设备才能连接目的地址设备,否则保持断开状态(而路由器在工作中则是一直保持网络连接的,这是和防火墙在工作模式上最显著的区别之一)
而从整体操作流程来分析,防火墙就是一种网络安全过滤设备,因为:
整个安全操作策略的具体执行实际上是一种过滤行为(行为属性)
说到过滤,你是否会想到是这样?
综上所述,套用门卫的角色来理解防火墙,是我们认识和理解防火墙的捷径。
“防火墙就是网络中的门卫”——这句话就是今天全部内容的核心。
第一节课里边的防火墙所代表的角色都清楚了吗?
聪明的你,现在都懂了么?
下面,咱们再回顾一下与防火墙相关的关键词:
门卫
交换机
部分路由器
安全日志
安全策略
中断连接
过滤
具体的含义,请自行在上文中找答案。
以上,就是今天课程的全部内容,咱们下期再见!
李晓宇
2018.2.26 上午 8:30 发布
于南宁·广西
领取专属 10元无门槛券
私享最新 技术干货