在逻辑上,防火墙是分离器、限制器和分析器,它能够有效地监控内部网络和外部网络之间的任何活动,保证内部网络的安全;在物理上,防火墙通常是一组硬件设备,所以,防火墙=硬件+软件+控制策略。防火墙可以分为包过滤防火墙、代理型防火墙和状态检测防火墙。(1)包过滤防火墙:利用定义的特定规则,即利用访问控制列表ACL过滤数据包。ACL是由permit(允许)或者deny(拒绝)语句组成的一系列有顺序的规则集合,防火墙可以直接获得数据包的源IP地址、 目的IP地址、源TCP/UDP端口、目的TCP/UDP端口和协议号等参数信息,利用以上信息按照访问控制列表ACL规则进行比较分析,过滤通过防火墙的数据包。具体操作:ACL规则通过匹配报文中的信息对数据包进行分类,路由设备根据这个规则判断哪些数据包可以通过,哪些数据包需要拒绝,包过滤防火墙的特点是简单,但缺乏灵活性,它针对每个数据包都需要进行策略检查,策略过多会导致性能急剧下降。(2)代理型防火墙:代理型防火墙是把防火墙作为一个业务访问的中间节点,对于客户端来说防火墙是一个服务器端,对服务器端来说防火墙是一个客户端。代理型防火墙安全性高,但开发代价大,对每一种应用开发一个对应的代理服务是很难做到的,因此,代理型防火墙不能支持很丰富的业务,只能针对某些应用提供代理支持,比如常用的HTTP代理等;(3)状态检测防火墙:状态检测技术是一种高级的通信过滤技术,它检测应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接,状态检测防火墙通过检测基于TCP/UDP连接的连接状态,动态地决定报文是否可以通过防火墙,在状态检测防火墙中,会维护着一个以五元组(源IP地址、目的IP地址、源端口、目的端口、协议号)为Key值的会话(Session)表项,对于后续的数据包,通过匹配Session表项,防火墙就可以决定哪些是合法访问,哪些是非法访问。
其他网络安全技术:网络安全体系中的访问控制系统,可以不让低权限的人员做越权工作,但无法保证高权限的人员不做破坏工作,也无法防止低权限人员通过非法行为获得高权限行为的发生。而入侵检测系统IDS是一个通过数据和行为模式分析来识别判断系统是否安全的设备,是防火墙之后的第二道安全闸门,IDS可以捕获并且记录网络上的所有数据,能够分析提炼出可疑的、异常的网络数据,它能够穿透伪装,获取实际的内容,部分IDS还可以自动进行反击、阻断连接、关闭通道。其他网络安全技术包括:通过身份验证技术、ACL访问控制列表等技术来过滤访问系统的人员,通过系统加固,安装免疫系统等技术对服务器等特殊资源提供保护, 通过安全扫描软件来自行发现系统的漏洞并及时打补丁。对于需要传输的数据,通过加密或者利用VPN通道来保证传输的安全性,而对于系统的运营,通过安全管理中心进行监控,发现可疑操作日志,能够及时提供警告并且进行处理。
敲黑板:防火墙是保护系统安全,主要是保护内部网络安全,分为3类防火墙,各有对应的优缺点,IDS是防火墙的第二道安全闸门,其他网络安全技术做一定的了解即可,本期理论知识较多,要做好笔记哦。
《易经》有一句话,“德不配位,必有灾殃”。当我们的能力配不上我们所得时,痛苦便降临了。
-end-
要想不错过消息,记得点个赞,和“再看"呀