防火墙(Firewall)是一种设备或软件,用于控制网络通信,实现网络隔离和信息安全。它可以过滤访问网络或主机的流量,允许或阻止特定类型的网络数据包

#包过滤 

 包过滤是防火墙最基本也是最传统的工作方式。它会根据数据包的标题信息(源/目的IP/端口等)进行匹配检测,允许或阻止其通过。包过滤简单实用,但无法防范某些攻击,而且未来的新协议或新应用也难以被正确识别。

 #状态检测 

状态检测则是跟踪网络连接,记录通信双方的数据交互过程和状态。它允许响应数据包返回,因为这表示连接处于正常状态。但如果收到首包SYN后长时间未收到SYN-ACK,或者出现非法的ACK包,STATES检测能识别这类异常,从而阻止这些攻击流量。这样提供更严密的访问控制。

#应用层检测

应用层检测需要深入理解各种应用层协议(HTTP、SMTP、FTP等),检测客户端与服务器之间的数据交互,分析请求与响应,理解其应用语义,从而判定流量是否恶意以及何种访问策略最适合。应用层检测提供更精准的控制,但也最为复杂。

#代理

代理防火墙接收客户请求,然后向服务器转发请求,再将服务器响应转发回客户。这种机制可以隐藏通信双方的真实IP地址等信息。同时代理也允许防火墙检查客户与服务器间的所有交互内容从而实施安全策略。但是,代理方式会造成一定的性能损耗与时间延迟。

 #深度数据包检测 

新一代防火墙采用深度数据包检测技术,将进入网络的每个数据包全面解剖,检查各层信息,然后综合判断流量性质与风险等级。例如,下一代防火墙具备完整的应用识别引擎,可准确识别客户-服务器间的应用协议,进而掌握应用语义,从而实现更严密的应用控制。这类防火墙提供全面而深入的流量检测与策略实施能力。

总之,防火墙通过采用包过滤、状态检测、应用层检测、代理以及深度数据包检测等技术手段,对网络流量进行全面监控与控制,达到网络安全与信息安全目的,从而切实保护网络基础设施与关键资产。 

实验复现

先在Cloud1上添加本机的一个环回地址添加端口如图

防火墙监控可视化工具 防火墙能监测网络通信_应用层

配置防火墙

防火墙监控可视化工具 防火墙能监测网络通信_网络_02

修改g1/0/0口,设置区域为trust

防火墙监控可视化工具 防火墙能监测网络通信_应用层_03

 修改g1/0/1口,设置区域为untrust

防火墙监控可视化工具 防火墙能监测网络通信_服务器_04

 配置pc和服务器ip

访问管理中将ping命令打开

使用pc1测试ping服务器

防火墙监控可视化工具 防火墙能监测网络通信_linux_05

配二层交换

更改成一个网段IP跟PC1一样的网段

防火墙监控可视化工具 防火墙能监测网络通信_防火墙监控可视化工具_06

防火墙监控可视化工具 防火墙能监测网络通信_linux_07

 测试

防火墙监控可视化工具 防火墙能监测网络通信_linux_08

 接口对

防火墙监控可视化工具 防火墙能监测网络通信_防火墙监控可视化工具_09

测试

防火墙监控可视化工具 防火墙能监测网络通信_linux_10