目录

一、防火墙的技术的简介

二、防火墙的类型

 四、DMZ区域

五、DMZ的两种连接方式

(1)三接口DMZ

(2)双层防火墙DMZ

六、Inside与Outside区域

总结

一、防火墙的技术的简介

防火墙(Firewall)是一种防止外部网络攻击内部网络的工具,也可以理解为隔离本地网络与外部网络的一道防御系统。防火墙可以是作为硬件来防护网络的一个设备,也可以作为一个软件来保护主机网络的软件,如360防火墙软件。防火墙是连接在不同的网络边界上,可以过滤它认为不受信任的任何数据,当然,不同的防火墙它的功能也是有差别了,所以这个防御也看防火墙的类型。一般的防火墙都可以实现以下的功能:

(1)限制不受信任的用户进入内部网络,过滤掉防火墙定义的不安全服务与非法用户数据;

(2)对非法入侵进行有效的防御;

(3)限定用户访问设定的网站;

(4)监控网络数据;

温馨提示:防火墙的功能,可以精简为:监控与过滤数据。

二、防火墙的类型

1.无状态包过滤(Stateless Packet filtering):最早的防火墙就是这种,它会查看每一个通过防火墙的数据包,一般地检查对象是网络层的。说到底,早期防火墙就是访问控制列表ACL,它可以定义相应的规则(源地址、目标地址、端口号、协议等)来进行过滤。这个防火墙它是一个静态安全策略,它不会对穿越会话进行状态维护,它只是在某一个方向上进行包过滤。它可以对单一的TCP、UDP的数据进行有效的过滤,但是它却无法对上层的数据进行行为与内容检测,对于动态的应用(FTP/多会话TCP等)是没有用的。

优点:

1.使用静态安全策略来允许或拒绝数据包;

2.仅对三层IP流量及静态的TCP/UDP流量进行有效过滤;

3.对客户来说是透明且高性能的;

4.一般使用白名单方式进入过滤数据,就是没有明确放行的流量,都是默认拒绝通过的。 

缺点:

1.不支持动态的应用(FTP、多会话TCP);

2.需要掌握专业的安全知识;

3.无法有效的防御一些探测攻击(最简单的一个ping扫描)。 

2.状态监控包过滤(Stateful packet filtering):简单的说,这个状态监控包过滤防火墙主要是通过跟踪主机之间的连接状态进行工作的,这个跟踪的包协议类型一个为TCP,另一个为UDP。比如,一个TCP从内部网络访问外部网络,防火墙会记录一个状态表的,当返回这个应答的数据包时,由于防火墙存在相应的状态表条目,所以它是可以通过的,若状态表没有相应的条目,则会把这个数据包丢弃。

优点:

1.可靠的三、四层的访问控制

2.配置简单

3.透明与高性能

4.一般使用限制访问控制技术

缺点:

1.无法检查到5-7层的内容

2.若应用层流量被加密,它是无法支持动态应用的

 

3.应用层监控和控制的状态包过滤(Stateful packet filtering with Application Inspection and Control):状态监控包过滤技术只可以实现可靠地三、四层的数据访问控制,但是无法对更高层的内容进行检测与过滤,而应用层监控和控制的状态包过滤防火墙就可以实现这些功能,进行三到七层的访问控制。

优点:

1.可靠的三到七层的访问控制

2.配置简单

3.透明和中等性能

4.一般使用限制的访问控制技术

缺点:

1.应用层监控和控制影响性能

2.限制的缓存能力为了深度的内容分析

4.代理服务器(Proxy server):简单的说,就是当内部网络访问外网时,它是直接把数据包发送给代理服务器,然后由代理服务器去访问外部网络的,这样可以直接提高数据的安全性,但是不适用于实时性要求高的数据流量。

多核amp架构防火墙 非x86多核架构防火墙_访问控制

优点:

1.可靠的3-7层的访问控制

2.自动的对协议进行规范化处理

3.能够采用宽容或者限制的访问控制技术

缺点:

1.不能广泛的支持所有的应用

2.不适合对实时流量采取这种技术

3.不透明

 四、DMZ区域

DMZ(Demilitarized Zone):非军事化区域,也称为“隔离区”

主要用于连接服务器和VPN设备,也许有人会觉得很奇怪,为什么需要这个DMZ区域?它是为了解决安装防火墙后外部网络的访问用户不能访问内部网络服务器的问题,而设立的一个非安全系统与安全系统之间的缓冲区。说到底它就最是为了让外部的用户可以正常访问内部的服务器,若没有这个区域的话,那么外部的用户是无法正常访问内部的服务器,因为所有外部的用户流量都会被防火墙干掉。默认情况下,内部的所有主机流量都是可以穿越防火墙访问外部网络的,因为内部的流量都是被信任的,而外部的流量在穿越防火墙时都会被防火墙干掉的,外部的流量是不被信任的。这里有一个问题,平时我们的服务器都是可以被访问的,若这个服务器的网络区域也同时可以被内网访问,那么会有什么问题呢?攻击者可以攻击这个服务器,然后直接利用这个服务器作为一个跳板来攻击整个内网。所以,为了更好地提供这个网络服务与保护好内网,可以划分一个DMZ区域,这个区域是用于提供给外网访问服务器的,即使这个区域的服务器被黑客攻击了也无法使用它来作为攻击内网的跳板。       

多核amp架构防火墙 非x86多核架构防火墙_访问控制_02

五、DMZ的两种连接方式

(1)三接口DMZ

这种连接的方式会比较普遍一些,相对而言,它成本低,而且也可以起到保护内部网络的作用,不过它没有双层防火墙连接方式安全。

多核amp架构防火墙 非x86多核架构防火墙_防火墙_03

(2)双层防火墙DMZ

这个连接方式相对来说,会少点,因为成本是一个问题,不过,这样连接确实可以极大地提高网络的安全性,就是有点贵。

多核amp架构防火墙 非x86多核架构防火墙_多核amp架构防火墙_04

六、Inside与Outside区域

为了更好地使用防火墙来提高整个网络的安全性,将防火墙的接口划分了三种区域,分别为DMZ区域、Inside区域、Outside区域。

Inside区域:是防火墙用于连接内部网络的接口区域,它是被信任的接口,所有的流量都不会被检查。

Outside区域:是防火墙用于连接外部网络的接口区域,它是不被信任的接口,所有的流量都会被检查,默认的外部流量是无法直接穿越防火墙的,除非它被防火墙放行了。

多核amp架构防火墙 非x86多核架构防火墙_防火墙_03

 

总结

本章节我们简单了解了一下什么是防火墙、防火墙的类型、防火墙的一些基本概念,那么后面的防火墙文章会是以理论与实验结合的方式来写的,这样比单纯的讲理论好阅读多了。后面的内容我尽量简洁一点,把相关的概念表达清楚,让大家明白就好,就不写到那种又长又臭的文章了,以前我就写过这样的文章。像这些技术类的文章,没有必要把一些小概念写的婆婆妈妈的,那些过分冗长的文章我写的累,各位朋友看得也累。好了,我们在下一个章节再见,加油!