路由器基础(九):防火墙基础

防火墙 (Fire Wall) 是网络关联的重要设备,用于控制网络之间的通信。外部网络用户的访问必须先经过安全策略过滤,而内部网络用户对外部网络的访问则无须过滤。现在的防火墙还具有隔离网络、提供代理服务、流量控制等功能。

一、三种防火墙技术

常见的三种防火墙技术:包过滤防火墙、代理服务器式防火墙、基于状态检测的防火墙。

(1)包过滤防火墙。

包过滤防火墙主要针对OSI 模型中的网络层和传输层的信息进行分析。通常包过滤防火墙用来控制IP 、UDP 、TCP、ICMP 和其他协议。包过滤防火墙对通过防火墙的数据包进行检查,只有满足条件的数据包才能通过,对数据包的检查内容一般包括源地址、目的地址和协议。包过滤防火墙通过规则 ( 如ACL) 来确定数据包是否能通过。配置了ACL的防火墙可以看成包过滤防火墙。

(2)代理服务器式防火墙。

代理服务器式防火墙对第四层到第七层的数据进行检查,与包过滤防火墙相比,需要更高的开销。用户经过建立会话状态并通过认证及授权后,才能访问到受保护的网络。压力较大的情况下,代理服务器式防火墙工作很慢。ISA可以看成是代理服务器式防火墙。

(3)基于状态检测的防火墙。

基于状态检测的防火墙检测每一个TCP、UDP 之类的会话连接。基于状态的会话包含特定会话的源/目的地址、端口号、TCP 序列号信息以及与此会话相关的其他标志信息。基于状态检测的防火墙工作基于数据包、连接会话和一个基于状态的会话流表。基于状态检测的防火墙性能比包过滤防火墙和代理服务器式防火墙要高。

二、防火墙区域结构

防火墙按安全级别不同,可划分为内网、外网和DMZ区,具体结构如图所示。

(1)内网。

内网是防火墙的重点保护区域,包含单位网络内部的所有网络设备和主机。该区域是可信的,内网发出的连接较少进行过滤和审计。

(2)外网。

外网是防火墙重点防范的对象,针对单位外部访问用户、服务器和终端。外网发起的通信必须按照防火墙设定的规则进行过滤和审计,不符合条件的则不允许访问。

(3)DMZ 区 (Demilitarized Zone)。

DMZ 区是一个逻辑区,从内网中划分出来,包含向外网提供服务的服务器集合。DMZ 中的服务器有Web 服务器、邮件服务器、FTP 服务器、外部DNS 服务器等。DMZ 区保护级别较低,可以按要求放开某些服务和应用。

相关推荐
Buleall2 分钟前
期末考学C
java·开发语言
重生之绝世牛码4 分钟前
Java设计模式 —— 【结构型模式】外观模式详解
java·大数据·开发语言·设计模式·设计原则·外观模式
小蜗牛慢慢爬行10 分钟前
有关异步场景的 10 大 Spring Boot 面试问题
java·开发语言·网络·spring boot·后端·spring·面试
MARIN_shen16 分钟前
Marin说PCB之POC电路layout设计仿真案例---06
网络·单片机·嵌入式硬件·硬件工程·pcb工艺
Algorithm157620 分钟前
云原生相关的 Go 语言工程师技术路线(含博客网址导航)
开发语言·云原生·golang
shinelord明29 分钟前
【再谈设计模式】享元模式~对象共享的优化妙手
开发语言·数据结构·算法·设计模式·软件工程
Monly2136 分钟前
Java(若依):修改Tomcat的版本
java·开发语言·tomcat
boligongzhu37 分钟前
DALSA工业相机SDK二次开发(图像采集及保存)C#版
开发语言·c#·dalsa
Eric.Lee202137 分钟前
moviepy将图片序列制作成视频并加载字幕 - python 实现
开发语言·python·音视频·moviepy·字幕视频合成·图像制作为视频
7yewh40 分钟前
嵌入式Linux QT+OpenCV基于人脸识别的考勤系统 项目
linux·开发语言·arm开发·驱动开发·qt·opencv·嵌入式linux