定义:
防火墙其本身具有路由功能。防火墙既可以做路由器,也可以做交换机,也就是说,防火墙也具有路由交换功能。防火墙必须挂在边界上,可以对外来数据进行过滤。
防火墙的区域:
acl是基于接口,而防火墙是基于区域来进行。
dmz区域:
防火墙的作用就是在不同的安全区域之间做隔离,保证我们的流量不能乱跑。就算是黑客把DMZ服务器拿下,也不能使用服务器来控制内网的网络。dmz区域的安全等级一般在50左右。
trust区域:
可信任的接口,是局域网的接口,此接口外网和DMZ无法访问。外部不能访问trust口。
DMZ不能访问trust口。trust区的安全等级一般是100(满分)。
untrust区域:
untrust区域的安全等级一般是0。
防火墙演变过程:
包过滤防火墙--访问控制列表技术 - -三层技术:
简单但是速度慢,效果不好,检查的颗粒度粗,也就是检查五元组(报文的源地址、目的地址、源端口、目的端口、端口号),不能检测状态。
代理防火墙--中间人技术-- 应用层:
检查的颗粒度更细,是 降低包过滤颗粒度的一种做法,代理技术只能针对特定的应用来实现,应用间不能通用,但是技术复杂,速度慢,可以防御应用层威胁和内容威胁。
状态防火墙--会话追踪技术--三四层技术:
在ACL表的基础上增加一个会话表,数据包需要查看绘画表来实现匹配。会话表可以用hash来处理形成定长值,使用CAM芯片处理,达到交换机的处理速度。
防火墙的工作原理:
防火墙默认设置为deny any操作,如果不做任何放行策略操作,则默认拒绝所有。
防火墙策略:先定义区域到区域,源区域到目标区域,其次源地址到目标地址.
本文章为转载内容,我们尊重原作者对文章享有的著作权。如有内容错误或侵权问题,欢迎原作者联系我们进行内容更正或删除文章。
