当前位置：网站首页>防火墙知识，原理，设备，厂商调研总结报告

防火墙知识，原理，设备，厂商调研总结报告

2022-07-22 18:11:00 【大魔王95】

防火墙知识总结

防火墙主要技术

静态包过滤

依据数据包的基本标记来控制数据包

技术逻辑简单、易于实现，处理速度快

无法实现对应用层信息过滤处理，配置较复杂

应用代理

连接都要通过防火墙进行转发

提供NAT，隐藏内部网络地址

状态检测

创建状态表用于维护连接，安全性高

安全性高但对性能要求也高

适应性好，对用户、应用程序透明

防火墙的部署位置

可信网络与不可信网络之间

不同安全级别网络之间

两个需要隔离的区域之间

防火墙的部署方式

单防火墙（无DMZ）部署方式

单防火墙系统(无DMZ)是最基本的防火墙部署方式，适用于无对外发布服务的企业，仅提供内部网络的基本防护。适用于家庭网络、小型办公网络和远程办公网络的环境中
（1）防止外部主机发起到内部受保护资源的连接，防止外部网络对内部网络的威胁；
（2）过滤和限制从内部主机通往外部资源的流量。

单防火墙（DMZ）部署方式

单防火墙(DMZ)部署方式，通过提供一个或多个非军事化区(DMZ)。出于安全的考虑，可以将对外发布的服务器部署在DMZ区，即使DMZ区的服务器被攻击者控制，受防火墙策略的限制，攻击者也无法通过DMZ区中的服务器对内部网络中的计算机发起攻击。
（1）可设置的DMZ数量依赖于使用的防火墙产品所能支持和扩展的DMZ端口的数量；
（2）所有流量都必须通过单防火墙，防火墙都需要根据设置的规则对流量进行控制，所以对防火墙性能要求也较高。

双防火墙部署方式

双防火墙部署方式，将两台或多台防火墙部署在网络不同安全级别的网络之间，为不同安全区域之间的流量提供了更细粒度的控制能力。例如双防火墙部署，使用两台防火墙作为外部防火墙和内部防火墙，在两台防火墙之间形成了一个非军事区网段，每个防火墙都是独立的控制点，分别独立控制不同安全区域之间的流量。
（1）相比单防火墙部署，双(多)防火墙部署方式更加复杂，费用较高，但能提供更为安全的系统结构；
（2）当防火墙产品选自于不同厂商的防火墙产品时，能够提供基于异构的安全。

防火墙的基本原理

对应下图的字节传输流程，可以分为以下几层：

包过滤（Packet filtering）：工作在网络层，仅根据数据包头中的IP地址、端口号、协议类型等标志确定是否允许数据包通过。
应用代理（Application Proxy）：工作在应用层，通过编写不同的应用代理程序，实现对应用层数据的检测和分析。
状态检测（Stateful Inspection）：工作在2~4层，访问控制方式与1同，但处理的对象不是单个数据包，而是整个连接，通过规则表和连接状态表，综合判断是否允许数据包通过。
完全内容检测（Compelete Content Inspection）：工作在2~7层，不仅分析数据包头信息、状态信息，而且对应用层协议进行还原和内容分析，有效防范混合型安全威胁。

厂商介绍

防火墙的局限性

防火墙虽然是保护网络安全的基础性设施，但是它还存在着一些不易防范的安全威胁：
首先防火墙不能防范未经过防火墙或绕过防火墙的攻击。例如，如果允许从受保护的网络内部向外拨号，一些用户就可能形成与Internet 的直接连接。
防火墙基于数据包包头信息的检测阻断方式，主要对主机提供或请求的服务进行访问控制，无法阻断通过开放端口流入的有害流量，并不是对蠕虫或者黑客攻击的解决方案。
另外，防火墙很难防范来自于网络内部的攻击或滥用。

原网站

版权声明
本文为[大魔王95]所创，转载请带上原文链接，感谢
https://blog.csdn.net/m0_72827206/article/details/125877368