路由器基础(九):防火墙基础

防火墙 (Fire Wall) 是网络关联的重要设备,用于控制网络之间的通信。外部网络用户的访问必须先经过安全策略过滤,而内部网络用户对外部网络的访问则无须过滤。现在的防火墙还具有隔离网络、提供代理服务、流量控制等功能。

一、三种防火墙技术

常见的三种防火墙技术:包过滤防火墙、代理服务器式防火墙、基于状态检测的防火墙。

(1)包过滤防火墙。

包过滤防火墙主要针对OSI 模型中的网络层和传输层的信息进行分析。通常包过滤防火墙用来控制IP 、UDP 、TCP、ICMP 和其他协议。包过滤防火墙对通过防火墙的数据包进行检查,只有满足条件的数据包才能通过,对数据包的检查内容一般包括源地址、目的地址和协议。包过滤防火墙通过规则 ( 如ACL) 来确定数据包是否能通过。配置了ACL的防火墙可以看成包过滤防火墙。

(2)代理服务器式防火墙。

代理服务器式防火墙对第四层到第七层的数据进行检查,与包过滤防火墙相比,需要更高的开销。用户经过建立会话状态并通过认证及授权后,才能访问到受保护的网络。压力较大的情况下,代理服务器式防火墙工作很慢。ISA可以看成是代理服务器式防火墙。

(3)基于状态检测的防火墙。

基于状态检测的防火墙检测每一个TCP、UDP 之类的会话连接。基于状态的会话包含特定会话的源/目的地址、端口号、TCP 序列号信息以及与此会话相关的其他标志信息。基于状态检测的防火墙工作基于数据包、连接会话和一个基于状态的会话流表。基于状态检测的防火墙性能比包过滤防火墙和代理服务器式防火墙要高。

二、防火墙区域结构

防火墙按安全级别不同,可划分为内网、外网和DMZ区,具体结构如图所示。

(1)内网。

内网是防火墙的重点保护区域,包含单位网络内部的所有网络设备和主机。该区域是可信的,内网发出的连接较少进行过滤和审计。

(2)外网。

外网是防火墙重点防范的对象,针对单位外部访问用户、服务器和终端。外网发起的通信必须按照防火墙设定的规则进行过滤和审计,不符合条件的则不允许访问。

(3)DMZ 区 (Demilitarized Zone)。

DMZ 区是一个逻辑区,从内网中划分出来,包含向外网提供服务的服务器集合。DMZ 中的服务器有Web 服务器、邮件服务器、FTP 服务器、外部DNS 服务器等。DMZ 区保护级别较低,可以按要求放开某些服务和应用。

相关推荐
chnming1987几秒前
STL关联式容器之map
开发语言·c++
进击的六角龙2 分钟前
深入浅出:使用Python调用API实现智能天气预报
开发语言·python
檀越剑指大厂2 分钟前
【Python系列】浅析 Python 中的字典更新与应用场景
开发语言·python
湫ccc10 分钟前
Python简介以及解释器安装(保姆级教学)
开发语言·python
程序伍六七13 分钟前
day16
开发语言·c++
wkj00118 分钟前
php操作redis
开发语言·redis·php
极客代码23 分钟前
【Python TensorFlow】进阶指南(续篇三)
开发语言·人工智能·python·深度学习·tensorflow
土豆湿29 分钟前
拥抱极简主义前端开发:NoCss.js 引领无 CSS 编程潮流
开发语言·javascript·css
界面开发小八哥36 分钟前
更高效的Java 23开发,IntelliJ IDEA助力全面升级
java·开发语言·ide·intellij-idea·开发工具
hzyyyyyyyu1 小时前
内网安全隧道搭建-ngrok-frp-nps-sapp
服务器·网络·安全