【计算机基础】防火墙

工程师CCNA=HCIA

资深工程师CCNP=HCIP

技术专家CCIE=HCIE

• IPS：入侵防御系统，发现攻击和入侵进行阻断
• IDS：入侵检测系统，检测有无攻击
• 漏洞扫描：发现本地服务器/PC，存在哪些中高低危的风险，解决漏洞保证网络安全
• DoS：拒绝服务，攻击有计算机网络宽带攻击和连通性攻击
• DDOS：分布式拒绝服务攻击可以使很多的计算机在同一时间遭受到攻击，使攻击的目标无法正常使用

防火墙是一个系统，通过过滤传输数据达到防止未经授权的网络传输侵入私有网络，阻止不必要流量的同时允许必要流量进入。

防火墙旨在私有和公共网络间建立一道安全屏障，因为在网上总会有黑客和恶意攻击想要侵入私有网络搞破坏。

防火墙会过滤想要进入网络传输的信息，利用既有规则来判断是否可以进入，这些规则又被称为访问控制列表，网络管理者可以定制规划该规则：管理者不仅可以决定哪些数据进入网络，也可以决定哪些数据去到公网，通过规则掌控允许或禁止。

防火墙不仅根据IP地址制定规则，也可以针对域名，协议，软件，端口和关键字来制定。

防火墙有不同的类型：

一种是主机型防火墙，属于软件类防火墙。安装在计算机中，只对安装的这台进行保护。例如最新的Win系统预安装了该类防火墙；也可以购买安装第三方公司开发的该类防火墙，例如ZoneAlarm一款知名的防火墙程序；许多杀毒软件也会内置该类防火墙

另一种类型的防火墙叫做网络型防火墙。由硬件和软件共同构成，运行在网络层上，放置在私有和公共网络之间，不像主机型防火墙只保护单一电脑而是保护整个网络。通过应用于整个网络的管理规则来实现，恶意攻击在传入电脑之前就会被拦截。

网络型防火墙可以当作独立的产品主要用于大型组织，可以内置在路由器中，此类很多小组织再用，也可以部署在服务器云架构中。

可以用网络型防火墙保护整个网络，用主机型防火墙保护电脑和服务器。

防火墙部署在区域边界。路由器（快速转发，少查路由表）与交换机（透明转发——不对数据包进行任何修改）的本质是转发，防火墙（具备路由和交换功能）的本质是控制。

防火墙特征

• 逻辑区域过滤器
  • 逻辑层面区分某区域的安全性
  • 比如逻辑上认为内网是安全的，则将其划分为值得信赖的
• 隐藏内网网络结构
  • 内网有众多终端设备，但对于防火墙外部仅有一个对外出口地址
• 自身安全保障
• 主动防御攻击

防火墙分类

• 按照形态划分：
  • 硬件防火墙

 

• 软件防火墙

• 按照保护对象划分
  • 单机防火墙：保护单台主机
  • 网络防火墙：保护整个网络

• 按照访问控制方式分为：
  • 包过滤防火墙

• • • 源端到目的端访问，通过检测数据报文头部进行安全控制

1. 无法关联数据包之间关系
   1. 例如，访问ftp服务基于TCP协议：通信三次握手，过程有一定逻辑性。包过滤防火墙无法找到其逻辑性和关系，会导致TCP建立不起来。
2. 无法适应多通道协议
   1. ftp有两个通道（控制通道；数据通道），先通过控制通道进行用户认证，认证完成后进行数据的上传下载。包过滤防火墙无法关联控制通道和数据通道。
3. 通常不检查应用层数据
   1. tcp/ip协议三次握手无法进行
   2. 应用层数据通常需要tcp/ip建立连接进行数据传递

• • • 现在一般不使用

• • • 转发原理——访问控制列表ACL

1. ACL可以通过定义规则来允许或拒绝流量的通过。 ACL是由一系列规则组成的集合。设备可以通过这些规则对数据包进行分类，并对不同类型的报文进行不同的处理。
2. ACL可以根据需求来定义过滤的条件以及匹配条件后所执行的动作。 设备可以依据ACL中定义的条件（例如源IP地址）来匹配入方向的数据，并对匹配了条件的数据执行相应的动作。

• • 代理防火墙