防火墙
来源:互联网 发布:jdbc 删除数据 编辑:程序博客网 时间:2024/04/28 20:57
1.为什么会有防火墙的产生?
互联网发展得很快,涉及到大量的用户,但是网络协议本身又是不安全的,加上网络之间信任边界复杂,也就导致了防火墙的产生.
2.防火墙的概念
防火墙传统的意思是实际生活中的一堵墙,用来防止火灾从一端蔓延到另外一端.而计算机之中的防火墙取的也是这个意思.它位于两个网络安全域之间,对于两个网络安全域之间的信息流通作出访问控制,从而可以达到保护内部网络的作用.
3.防火墙的分类
从软件和硬件来划分,防火墙可以分为软件防火墙,和硬件防火墙.软件硬件的区分是指防火墙的实现是利用软件还是硬件.
从单台计算机和网络来划分,防火墙可以分为单机防火墙和网络防火墙.单机防火墙和网络防火墙的区分是指防火墙的保护对象是单一的一台计算机还是整一个网络.
4.单机防火墙和网络防火墙的区别
①针对对象 单台计算机 整一个网络
②产品的形态 软件 软件或者硬件
③安装点 host 网络交界处
④安全策略 针对各个独立的host 整个网络
⑤保护范围 host 网络
⑥管理方式 分散管理 集中管理
⑦功能 功能单一 功能复杂多样
⑧管理人员 普通计算机用户 专业的网管人员
单机防火墙应该是网络防火墙的补充,可以在网络防火墙的基础上安装单机防火墙.
5.软件防火墙和硬件防火墙的区别
①软件防火墙安装只需要安装下载软件的防火墙,但是安装使用需要另外的操作系统平台.例如你的计算机安装了软件防火墙,它是在你的操作系统基础上安装使用的.
②硬件防火墙是自带操作系统和防火墙的,不需要另外的OS平台.
③也正因为这个区别,软件防火墙的安全性是依赖于底层的OS的,而硬件防火墙的安全性则取决于专用的OS.
④软件防火墙的网络适应性较弱,只能采用路由接入.而硬件防火墙的网络适应性较强,可以采取多种接入模式.
⑤软件防火墙的升级更新比较方便,但是硬件防火墙的升级更新则相对没有那么方便.
6.防火墙的发展历史
①最开始是纯软件的防火墙.他是基于PC机,运行在通用操作系统之上,但是通用操作系统难免存在不少的漏洞和BUG,该防火墙和其他的任务进程一同需要占用cpu和内存,安全性和性能都一般.
②接下来的是软硬件结合的防火墙,它采用了专用的操作系统,从根本上解决了纯软件防火墙的问题,但是他的架构仍然离不开X86结构.
③ASIC硬件防火墙.采用ASIC芯片和多总线结构,并行处理.摆脱了X86架构.
其实上面的发展历史是可以明显看出来防火墙的发展进步是基于前面的问题上的.
7.那么防火墙提供的具体功能是什么呢?或者说防火墙技术具体是什么咚咚?
①简单包过滤防火墙 ②应用代理防火墙 ③状态检测防火墙 ④包过滤和应用代理复合型防火墙
1.1简单包过滤防火墙
顾名思义,包过滤就是控制允许那些数据包通过,不允许哪些数据包通过.
既然是过滤,首先得设置过滤规则.
包过滤是根据TCP|IP的包头来进行过滤的,不涉及到应用层的数据.
一般需要TCP|IP的包头数据有:ip源地址和目标地址
协议类型 TCP或者UDP的原端口和目的端口 ICMP消息类型 TCP 的ACK位 和 序列号 和 IP校验和
优缺点:
① 包过滤防火墙的速度快
②安全性低,例如IP欺骗, 不能提供有用的日志,或者根本就不提供日志.
1.2应用代理防火墙
顾名思义,该防火墙工作在应用层,利用代理的思想实现,只检查数据,不检查包头,不建立连接状态表,网络层的保护比较弱.
1.3状态检测防火墙
该防火墙的原理是:首先设置安全策略,然后对于要新建立的连接进行判断,是否符合安全策略,若符合,则允许连接通过,并且记录连接的信息,生成状态表,然后对于后续的数据包,只要符合状态表的,都可以允许通过.
该防火墙有一个专门的模块负责执行安全策略,唤作监测引擎.
该防火墙是针对网络层之上的各层数据.
提供了完整的对于传输层的控制能力.
但是会降低网速,而且安全策略配置比较复杂.
1.4包过滤和应用代理复合型防火墙
顾名思义,结合了两者的特点.针对整一个数据包进行检查,并且根据需要建立连接状态表.
硬件防火墙的构造
分为两个模块:①防火墙的机箱和引擎 ②防火墙接口模块
1.可以根据需要扩展防火墙接口模块.或者选择处理能力更好的防火墙机箱和引擎.
防火墙可以干的事情有:
①访问控制
②服务器负载均衡: 服务器负载均衡的意思是假如有多个用户访问某公司的网站,该公司有多台服务器提供服务,为了避免某台服务器被大量访问,其他服务器却不怎么被访问的情况,可以利用防火墙实现服务器负载均衡
③做日志审计:首先得有基本通信日志.包含的内容应该有:目的地址,源地址,原目的端口,时间,协议,是否通过,字节数.接着是应用层命令日志,在通信日志的基础上包含应用层的命令及其参数.然后还有访问日志.最终还会有各种的日志分析工具.
④策略路由功能:假如内部网有多台电脑,可以根据不同电脑的ip地址,为他们选择不同的路由接入因特网.
⑤ip和mac的绑定:这个可以将ip地址和某台计算机固定的mac地址绑定
⑥可以实现网络地址转换技术(NAT):假如一个公司,IP地址不够的时候,可以利用内部地址在公司局域网使用,当要连接外网的时候,使用NAT技术来实现.
⑦实现代理服务
参数指标:
①吞吐量:假设内部网不断地发送数据包,在不丢包的基础上,单位时间内防火墙能够发送出去的数据包的数量.
假如吞吐量过小,那么假如内部网的是100,防火墙是79,那么吞吐量过小,防火墙就成为了网络速度的瓶颈.
②延时:假如内部网发送一段数据到防火墙,防火墙在处理后转发出去,这个处理所需要的时间.
③ 丢包率:假如内部网发送了1999个包,防火墙转发的只有1229个包.那么丢包率就是(1999-1229)/1999,丢包率关系到防火墙的可靠性.
④并发连接数,最大并发连接数的建立速率.
防火墙的接入模式:
分为 透明接入 路由接入 和混合接入.
透明接入:防火墙相当于一个网桥,不需要分配ip地址
路由接入:防火墙需要分配ip地址,提供简单的路由功能.
混合接入:两者的混合,例如不同网段可以使用路由接入,相同网段使用透明接入.
其实防火墙也不是绝对安全的,在网络中不存在绝对安全.
互联网发展得很快,涉及到大量的用户,但是网络协议本身又是不安全的,加上网络之间信任边界复杂,也就导致了防火墙的产生.
2.防火墙的概念
防火墙传统的意思是实际生活中的一堵墙,用来防止火灾从一端蔓延到另外一端.而计算机之中的防火墙取的也是这个意思.它位于两个网络安全域之间,对于两个网络安全域之间的信息流通作出访问控制,从而可以达到保护内部网络的作用.
3.防火墙的分类
从软件和硬件来划分,防火墙可以分为软件防火墙,和硬件防火墙.软件硬件的区分是指防火墙的实现是利用软件还是硬件.
从单台计算机和网络来划分,防火墙可以分为单机防火墙和网络防火墙.单机防火墙和网络防火墙的区分是指防火墙的保护对象是单一的一台计算机还是整一个网络.
4.单机防火墙和网络防火墙的区别
①针对对象 单台计算机 整一个网络
②产品的形态 软件 软件或者硬件
③安装点 host 网络交界处
④安全策略 针对各个独立的host 整个网络
⑤保护范围 host 网络
⑥管理方式 分散管理 集中管理
⑦功能 功能单一 功能复杂多样
⑧管理人员 普通计算机用户 专业的网管人员
单机防火墙应该是网络防火墙的补充,可以在网络防火墙的基础上安装单机防火墙.
5.软件防火墙和硬件防火墙的区别
①软件防火墙安装只需要安装下载软件的防火墙,但是安装使用需要另外的操作系统平台.例如你的计算机安装了软件防火墙,它是在你的操作系统基础上安装使用的.
②硬件防火墙是自带操作系统和防火墙的,不需要另外的OS平台.
③也正因为这个区别,软件防火墙的安全性是依赖于底层的OS的,而硬件防火墙的安全性则取决于专用的OS.
④软件防火墙的网络适应性较弱,只能采用路由接入.而硬件防火墙的网络适应性较强,可以采取多种接入模式.
⑤软件防火墙的升级更新比较方便,但是硬件防火墙的升级更新则相对没有那么方便.
6.防火墙的发展历史
①最开始是纯软件的防火墙.他是基于PC机,运行在通用操作系统之上,但是通用操作系统难免存在不少的漏洞和BUG,该防火墙和其他的任务进程一同需要占用cpu和内存,安全性和性能都一般.
②接下来的是软硬件结合的防火墙,它采用了专用的操作系统,从根本上解决了纯软件防火墙的问题,但是他的架构仍然离不开X86结构.
③ASIC硬件防火墙.采用ASIC芯片和多总线结构,并行处理.摆脱了X86架构.
其实上面的发展历史是可以明显看出来防火墙的发展进步是基于前面的问题上的.
7.那么防火墙提供的具体功能是什么呢?或者说防火墙技术具体是什么咚咚?
①简单包过滤防火墙 ②应用代理防火墙 ③状态检测防火墙 ④包过滤和应用代理复合型防火墙
1.1简单包过滤防火墙
顾名思义,包过滤就是控制允许那些数据包通过,不允许哪些数据包通过.
既然是过滤,首先得设置过滤规则.
包过滤是根据TCP|IP的包头来进行过滤的,不涉及到应用层的数据.
一般需要TCP|IP的包头数据有:ip源地址和目标地址
协议类型 TCP或者UDP的原端口和目的端口 ICMP消息类型 TCP 的ACK位 和 序列号 和 IP校验和
优缺点:
① 包过滤防火墙的速度快
②安全性低,例如IP欺骗, 不能提供有用的日志,或者根本就不提供日志.
1.2应用代理防火墙
顾名思义,该防火墙工作在应用层,利用代理的思想实现,只检查数据,不检查包头,不建立连接状态表,网络层的保护比较弱.
1.3状态检测防火墙
该防火墙的原理是:首先设置安全策略,然后对于要新建立的连接进行判断,是否符合安全策略,若符合,则允许连接通过,并且记录连接的信息,生成状态表,然后对于后续的数据包,只要符合状态表的,都可以允许通过.
该防火墙有一个专门的模块负责执行安全策略,唤作监测引擎.
该防火墙是针对网络层之上的各层数据.
提供了完整的对于传输层的控制能力.
但是会降低网速,而且安全策略配置比较复杂.
1.4包过滤和应用代理复合型防火墙
顾名思义,结合了两者的特点.针对整一个数据包进行检查,并且根据需要建立连接状态表.
硬件防火墙的构造
分为两个模块:①防火墙的机箱和引擎 ②防火墙接口模块
1.可以根据需要扩展防火墙接口模块.或者选择处理能力更好的防火墙机箱和引擎.
防火墙可以干的事情有:
①访问控制
②服务器负载均衡: 服务器负载均衡的意思是假如有多个用户访问某公司的网站,该公司有多台服务器提供服务,为了避免某台服务器被大量访问,其他服务器却不怎么被访问的情况,可以利用防火墙实现服务器负载均衡
③做日志审计:首先得有基本通信日志.包含的内容应该有:目的地址,源地址,原目的端口,时间,协议,是否通过,字节数.接着是应用层命令日志,在通信日志的基础上包含应用层的命令及其参数.然后还有访问日志.最终还会有各种的日志分析工具.
④策略路由功能:假如内部网有多台电脑,可以根据不同电脑的ip地址,为他们选择不同的路由接入因特网.
⑤ip和mac的绑定:这个可以将ip地址和某台计算机固定的mac地址绑定
⑥可以实现网络地址转换技术(NAT):假如一个公司,IP地址不够的时候,可以利用内部地址在公司局域网使用,当要连接外网的时候,使用NAT技术来实现.
⑦实现代理服务
参数指标:
①吞吐量:假设内部网不断地发送数据包,在不丢包的基础上,单位时间内防火墙能够发送出去的数据包的数量.
假如吞吐量过小,那么假如内部网的是100,防火墙是79,那么吞吐量过小,防火墙就成为了网络速度的瓶颈.
②延时:假如内部网发送一段数据到防火墙,防火墙在处理后转发出去,这个处理所需要的时间.
③ 丢包率:假如内部网发送了1999个包,防火墙转发的只有1229个包.那么丢包率就是(1999-1229)/1999,丢包率关系到防火墙的可靠性.
④并发连接数,最大并发连接数的建立速率.
防火墙的接入模式:
分为 透明接入 路由接入 和混合接入.
透明接入:防火墙相当于一个网桥,不需要分配ip地址
路由接入:防火墙需要分配ip地址,提供简单的路由功能.
混合接入:两者的混合,例如不同网段可以使用路由接入,相同网段使用透明接入.
其实防火墙也不是绝对安全的,在网络中不存在绝对安全.
0 0
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 防火墙
- 【IOS开发】UIImageView的用法 图片
- Swift-属性(Properties)(九)
- 折线分割平面
- Java ConcurrentModificationException
- tld 学习过程
- 防火墙
- Mesos的未来DCOS已经明朗化
- PAT1008. Elevator (20)
- HTTPS解析
- 关于 Git
- 关于java回调函数
- 68-Binary Tree Postorder Traversal
- wordpress调用函数整理
- OSGI DEMO
