防火墙知识小结


# (一)防火墙

隔离内网和外网,监控内部网络和外部网络的所有活动,以便保证内网安全。

## A 防火墙的4个功能:

1、监控点。

```
防火墙这个监控点一旦建立,就可以监视、过滤和检查所有进出这个监控点的流量。
```

2、安全策略

```
防火墙的主要目的是强制执行用户的安全策略,将所有安全策略(如:口令、加密、身份认证和审计等)集于一身。
```

3、日志记录

```
防火墙强制日志记录,并提供报警功能。
```

4、防止外泄

```
防火墙对内部网络进行隔离,并因此隐藏了内部网络的拓扑结构和服务逻辑。
```

## B 防火墙的发展:

1、第一代防火墙

```
一代防火墙,又称包过滤防火墙,通过数据包源ip、目的ip和端口号等参数来决定是否允许数据包的通过和转发;但是,一代防火墙不能抵御IP地址欺骗等攻击,而且欠缺审计功能。
```

2、第二代防火墙

```
二代防火墙,也称代理防火墙,提供网络服务级的控制,起到外部网络向被保护的内部网络申请服务时中间转接的作用,能有效防止对内部网络的直接攻击。
```

3、第三代防火墙

```
三代防火墙,又称状态监控防火墙,可以对每一层的数据包进行检测和监控。
```

4、第四代防火墙

```
四代防火墙,又称新一代防火墙(之前的一二三代都是传统防火墙),超出了传统防火墙的范畴,是一个全方位的安全技术集成系统,可以抵御常见的网络攻击(如:IP地址欺骗、特洛伊木马攻击、Internet蠕虫、口令探寻攻击和邮件攻击等)
```

## C 防火墙的分类:

1、按数据处理方式

(1)包过滤防火墙

一代,静态包过滤。

```
数据包的报头信息和过滤规则进行匹配。报头信息中包括源IP、目的IP、传输协议(如:TCP、UDP和ICMP等)、TCP/UDP目的端口、ICMP消息类型等。基于“最小特权原则”,即明确哪些数据包可以通过,而禁止其他的数据包。
```

二代,动态包过滤。

```
可以动态设置包过滤规则,后来发展为包状态检测技术,可以对每个连接进行跟踪,并可动态添加和更新过滤规则中的条目。
```

(2)代理防火墙

一代代理防火墙

```
又称应用层网关防火墙,通过代理技术参与TCP连接的全过程,使得从内网发出的数据包在经过防火墙处理后,就像是源于防火墙外部网络一样,从而隐藏内网结构。代理防火墙可以抵御数据驱动类型的攻击内部网络。最大的优点是安全,最大的缺点是吞吐量是瓶颈。
```

二代自适应代理防火墙

```
由自适应代理服务器和动态包过滤器组成,同时保证包过滤防火墙的高速度和代理防火墙的安全性,性能是代理防火墙的10倍。
```

2、按网络体系结构

(1)网络级防火墙(即为包过滤防火墙)

```
网络级防火墙一般是基于源地址和目的地址、应用、协议以及每个IP包的端口来作出通过与否的判断。
```

(2)应用级网关(即为代理防火墙)

```
应用级网关能够检查进出的数据包,通过网关复制传递数据,防止在受信任服务器和客户机与不受信任的主机间直接建立联系。应用级网关能够理解应用层上的协议,能够做复杂一些的访问控制,并做精细的注册和稽核。
```

(3)电路级网关

```
电路级网关用来监控受信任的客户或服务器与不受信任的主机间的TCP握手信息,这样来决定该会话(Session)是否合法,电路级网关是在OSI模型中会话层上来过滤数据包,这样比包过滤防火墙要高二层。电路级网关还提供一个重要的安全功能:代理服务器(Proxy Server)。
```

(4)规则检查防火墙

```
结合了包过滤防火墙、应用级网关和电路级网关的特点。
```

## D 分布式防火墙

```
由网络防火墙、主机防火墙和中心管理软件3部分组成,依靠包过滤、特洛伊木马过滤和脚本过滤3层过滤检查,保护个人计算机不受到网络攻击。
```

## E 物理隔离技术

1、一代产品,双机双网技术

2、二代产品,双硬盘隔离卡

3、三代产品,单硬盘隔离卡

## F 网闸

```
在安全隔离(物理隔离)的基础上,再实现信息交换的系统。
```

 

## G 防水墙技术

```
防止堡垒从内部攻破。
```

 

## H UTM技术

```
一种安全设备,统一威胁管理(UTM)设备。这类产品集成多种安全技术于一身,包括防火墙、虚拟专用网络(VPN)、入侵检测和防御(IDP)以及网关防病毒等。
```

 

 

 

# (二)IDS

入侵检测系统(Intrusion Detection System,IDS)是探测计算机网络攻击行为的软件或者硬件。它是防火墙的合理补充,被认为是防火墙之后的第二道安全闸门,可以帮助网络管理员探查进入网络的入侵行为,从而扩展系统管理员的安全管理能力。

对于收集到的有关系统、网络、数据以及用户活动的状态和行为等信息,通过3种技术手段进行分析。如:模式匹配、统计分析、完整性分析。

IDS分类:

1、基于网络的IDS,即(Network Intrusion Detection Systems,NIDS)

2、基于主机的IDS,即(Host Intrusion Detection Systems,HIDS)

IDS信号分析:

1、模式匹配

```
匹配规则库,属于基于特征的触发机制。优点是准确率高、效率高,缺点是无法检测新型攻击行为。
```

2、统计分析

```
建立行为模型,基于专家系统、模型推理、神经网络的分析方法,属于基于模型的触发机制。优点是可以检测未知的和更为复杂的入侵行为,缺点是误报、漏报率高。
```

3、完整性分析

```
利用消息摘要函数(如MD5),能识别哪怕是微小的变化。例如:每天定时开启完整性分析模块,对网络系统进行全面检查。
```

# (三)vpn

 

 

#

 

posted @ 2019-09-19 17:22  安迪9468  阅读(1415)  评论(0编辑  收藏  举报