目录:
- 一:防火墙的基本概念
- 二:实验
- 三:视频缺失,待补充。。。。。暂且跳过!
一:防火墙的基本概念
防火墙:
防火墙的基本概念
是一款具有安全防护功能的网络设备。
隔离网络:
将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护。
防火墙的基本功能
访问控制:不写策略,默认全部禁止
攻击防护:一般防护3到4层,5层数据的防护是一种趋势,一般不做防护
冗余设计:可以进行热备份hsrp
路由,交换
日志记录
虚拟专网VPN
NAT
防火墙产品及厂家
华为,思科,天融信
区域隔离(重点)
防火墙区域概念:
内部区域
DMZ区域:称为“隔离区”,也称为“非军事化区/停火区”
外部区域
防火墙的分类
按形态分类:
软件防火墙
硬件防火墙
按技术分类:
包过滤防火墙:最早防火墙,功能简单,配置复杂
状态检测防火墙:现在主流防火墙
代理防火墙:早期防火墙,连接效率低,速度慢
WAF防火墙,专门作用于web服务过滤
DPI防火墙:未来防火墙的发展方向,能够高速的对第七层数据进行检测
衡量防火墙性能的5大指标:
吞吐量:在不丢包的情况下,单位时间内通过的数据包数量
时延:数据包第一个比特进入防火墙到最后一个比特从防火墙输出的时间间隔
丢包率:通过防火墙传送时,所丢失数据包数量占所发送数据包的比率
并发连接数:防火墙能够同时处理的点对点连接的最大数目
新建连接数:在不丢包的情况下,每秒可以建立的最大连接数
防火墙的工作模式及部署类型(重点)
标准应用:
透明模式
一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下,用户需要加装防火墙以实现安全区域隔离的要求。
防火墙端口工作在2层
路由模式
混杂模式
IDS (入侵检测系统)
IDS是英文“Intrusion Detection Systems”的缩写,中文意思是“入侵检测系统”。专业上讲就是依照一定的安全策略,通过软、硬件,对网络、系统的运行状况进行监视,
尽可能发现各种攻击企图、攻击行为或者攻击结果,以保证网络系统资源的机密性、完整性和可用性。做一个形象的比喻:假如防火墙是一幢大楼的门锁,那么IDS就是这幢大楼里的监视系统。
一旦小偷爬窗进入大楼,或内部人员有越界行为,实时监视系统会发现情况并发出警告。
IPS (入侵防御系统)
入侵防御系统(IPS: Intrusion Prevention System)是电脑网络安全设施,是对防病毒软件(Antivirus Programs)和防火墙(Packet Filter, Application Gateway)的补充。
入侵防御系统(Intrusion-prevention system)是一部能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。
侵入保护(阻止)系统(IPS)是新一代的侵入检测系统(IDS),可弥补IDS存在于前摄及假阳性/阴性等性质方面的弱点。IPS能够识别事件的侵入、关联、冲击、方向和适当的分析,
然后将合适的信息和命令传送给防火墙、交换机和其它的网络设备以减轻该事件的风险。
状态防火墙分析图解:
防火墙工作模式图解:
透明模式:
路由模式:
混杂模式:
二:实验
利用3台虚拟机模拟防火墙,没有文件无法进行实验。(0.0)
拓扑图:
天融信防火墙系统页面截图:
三:视频缺失,待补充。。。。。暂且跳过!