做一个交易网站要花多少钱,开发公司工程项目管理总结经验教训,推荐大良营销网站建设,wordpress需要登录才可以看到内容一、防火墙基本概念 前面我们学习了交换机、路由器是网络中常用的设备#xff0c;现实中还有一个很重要的设备-防火墙。防火墙这一设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。在网络通信领域#xff0c;防火墙是一种安全设备。它用于保护一个网络区域免受来自另… 一、防火墙基本概念 前面我们学习了交换机、路由器是网络中常用的设备现实中还有一个很重要的设备-防火墙。防火墙这一设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。在网络通信领域防火墙是一种安全设备。它用于保护一个网络区域免受来自另一个网络区域的攻击和入侵通常被应用于网络边界例如企业互联网出口、企业内部业务边界、数据中心边界等。 防火墙 防火墙根据设备形态分为框式防火墙、盒式防火墙和软件防火墙支持在云上云下灵活部署。 二、防火墙与交换机、路由器功能对比 以园区网为例交换机作用是接入终端和汇聚内部路由组建内部互联互通的局域网。 路由器作用是路由的分发、寻址和转发构建外部连接网络。 防火墙作用是流量控制和安全防护区分和隔离不同安全区域。 防火墙部署 数据转发流程 网络安全架构 防火墙一般部署在边界进行不同安全区域间隔离与防护。 三、防火墙发展历程与类别 防火墙从包过滤防火墙发展起经历了状态检测、统一威胁管理、NGFW等到AI防火墙有以下特点 访问控制越来越精细 防护能力越来越强 性能越来越高 防火墙发展历程 3.1 包过滤防火墙 包过滤是指基于五元组对每个数据包进行检测根据配置的安全策略转发或丢弃数据包。 包过滤防火墙的基本原理是通过配置访问控制列表Access Control ListACL实施数据包的过滤。 包过滤防火墙的缺点主要表现以下几点 随着ACL复杂度和长度的增加其过滤性能呈指数下降 静态的ACL规则难以适应动态的安全要求 包过滤不检查会话状态也不分析数据这很容易让黑客蒙混过关。例如攻击者可以使用假冒地址进行欺骗通过把自己主机IP地址设成一个合法主机IP地址就能很轻易地通过报文过滤器。 包过滤防火墙 包过滤防火墙主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。不能过滤应用而且性能随着ACL增加而降低。 3.2 状态检测防火墙 状态检测是包过滤技术的发展它考虑报文前后的关联性检测的是连接状态而非单个报文。 状态检测防火墙就是支持状态检测功能的防火墙。 状态检测防火墙通过对连接的首个数据包后续简称首包检测而确定一条连接的状态。后续数据包根据所属连接的状态进行控制转发或阻塞。 NGFW也是状态检测防火墙的一种。NGFW在内容安全和处理性能有极大的提升。 状态检测防火墙 现在主流防火墙也属于状态检测防火墙、能够基于应用和用户特征等进行匹配性能更高。常说的下一代防火墙其实是多种功能的集合在状态检测防火墙的基础上增加了一些入侵检测、入侵防御、应用识别等功能的安全设备。 总结防火墙一般用于出口或者企业网内部不同区域间的隔离通过五元组或者状态检测机制进行流量的监控识别针对不同的流量执行不同的动作有包过滤防火墙和状态检测防火墙、下一代防火墙等。防火墙也具备路由和交换功能通过模块化集成入侵检测、入侵防御、应用识别等功能。 如果对文章感兴趣欢迎微信搜索公众号不喜欢热闹的孩子 本文由 mdnice 多平台发布
