您當(dāng)前位置: 主頁 > 資訊動(dòng)態(tài) > 艾銻分享 >
網(wǎng)絡(luò)運(yùn)維|防火墻技術(shù)
2020-07-08 21:19 作者:admin
網(wǎng)絡(luò)運(yùn)維|防火墻技術(shù)
大家好,我是一枚從事IT外包的網(wǎng)絡(luò)安全運(yùn)維工程師,今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護(hù)相關(guān)的內(nèi)容。今天和大家聊一聊防火墻的NAT應(yīng)用場景,簡單網(wǎng)絡(luò)安全運(yùn)維,從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運(yùn)維大神。網(wǎng)絡(luò)維護(hù)是一種日常維護(hù),包括網(wǎng)絡(luò)設(shè)備管理(如計(jì)算機(jī),服務(wù)器)、操作系統(tǒng)維護(hù)(系統(tǒng)打補(bǔ)丁,系統(tǒng)升級(jí))、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費(fèi)提供給您大量真實(shí)有效的北京網(wǎng)絡(luò)維護(hù)服務(wù),北京網(wǎng)絡(luò)維修信息查詢,同時(shí)您可以免費(fèi)資訊北京網(wǎng)絡(luò)維護(hù),北京網(wǎng)絡(luò)維護(hù)服務(wù),北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護(hù)信息就在北京艾銻無限+
+
北京網(wǎng)絡(luò)維護(hù)全北京朝陽豐臺(tái)北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護(hù)信息
大家好,我是一枚從事IT外包的網(wǎng)絡(luò)運(yùn)維工程師,今天和大家聊點(diǎn)安全方面的技術(shù),這次咱們就聊一聊防火墻技術(shù)。
防火墻簡介
定義
防火墻(Firewall)是一種隔離技術(shù),使內(nèi)網(wǎng)和外網(wǎng)分開,可以防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進(jìn)入內(nèi)部網(wǎng)絡(luò),保護(hù)內(nèi)網(wǎng)免受外部非法用戶的侵入。目的
在大廈構(gòu)造中,防火墻被設(shè)計(jì)用來防止火從大廈的一部分傳播到另一部分。網(wǎng)絡(luò)中的防火墻有類似的作用:· 防止因特網(wǎng)的危險(xiǎn)傳播到私有網(wǎng)絡(luò)。
· 在網(wǎng)絡(luò)內(nèi)部保護(hù)大型機(jī)和重要的資源(如數(shù)據(jù))。
· 控制內(nèi)部網(wǎng)絡(luò)的用戶對外部網(wǎng)絡(luò)的訪問。
防火墻原理安全域的描述
安全區(qū)域
安全域是防火墻功能實(shí)現(xiàn)的基礎(chǔ),防火墻的安全域包括安全區(qū)域和安全域間。在防火墻中,安全區(qū)域(Security Zone),簡稱為區(qū)域(zone),是一個(gè)或多個(gè)接口的組合,這些接口所包含的用戶具有相同的安全屬性。每個(gè)安全區(qū)域具有全局唯一的安全優(yōu)先級(jí)。
設(shè)備認(rèn)為在同一安全區(qū)域內(nèi)部發(fā)生的數(shù)據(jù)流動(dòng)是可信的,不需要實(shí)施任何安全策略。只有當(dāng)不同安全區(qū)域之間發(fā)生數(shù)據(jù)流動(dòng)時(shí),才會(huì)觸發(fā)防火墻的安全檢查,并實(shí)施相應(yīng)的安全策略。
安全域間
任何兩個(gè)安全區(qū)域都構(gòu)成一個(gè)安全域間(Interzone),并具有單獨(dú)的安全域間視圖,大部分的防火墻配置都在安全域間視圖下配置。例如:配置了安全區(qū)域zone1和zone2,則在zone1和zone2的安全域間視圖中,可以配置ACL包過濾功能,表示對zone1和zone2之間發(fā)生的數(shù)據(jù)流動(dòng)實(shí)施ACL包過濾。
在安全域間使能防火墻功能后,當(dāng)高優(yōu)先級(jí)的用戶訪問低優(yōu)先級(jí)區(qū)域時(shí),防火墻會(huì)記錄報(bào)文的IP、VPN等信息,生成一個(gè)流表。當(dāng)報(bào)文返回時(shí),設(shè)備會(huì)查看報(bào)文的IP、VPN等信息,因?yàn)榱鞅砝镉涗浻邪l(fā)出報(bào)文的信息,所以有對應(yīng)的表項(xiàng),返回的報(bào)文能通過。低優(yōu)先級(jí)的用戶訪問高優(yōu)先級(jí)用戶時(shí),默認(rèn)是不允許訪問的。因此,把內(nèi)網(wǎng)設(shè)置為高優(yōu)先級(jí)區(qū)域,外網(wǎng)設(shè)置為低優(yōu)先級(jí)區(qū)域,內(nèi)網(wǎng)用戶可以主動(dòng)訪問外網(wǎng),外網(wǎng)用戶則不能主動(dòng)訪問內(nèi)網(wǎng)。
基于安全域的防火墻的優(yōu)點(diǎn)
傳統(tǒng)的交換機(jī)/路由器的策略配置通常都是圍繞報(bào)文入接口、出接口展開的,隨著防火墻的不斷發(fā)展,已經(jīng)逐漸擺脫了只連接外網(wǎng)和內(nèi)網(wǎng)的角色,出現(xiàn)了內(nèi)網(wǎng)/外網(wǎng)/DMZ(Demilitarized Zone)的模式。在這種組網(wǎng)環(huán)境中,傳統(tǒng)基于接口的策略配置方式給網(wǎng)絡(luò)管理員帶來了極大的負(fù)擔(dān),安全策略的維護(hù)工作量成倍增加,從而也增加了因?yàn)榕渲靡氚踩L(fēng)險(xiǎn)的概率。除了復(fù)雜的基于接口的安全策略配置,某些防火墻支持全局的策略配置,全局策略配置的缺點(diǎn)是配置粒度過粗,一臺(tái)設(shè)備只能配置同樣的安全策略,滿足不了用戶在不同安全區(qū)域或者不同接口上實(shí)施不同安全策略的要求,使用上具有明顯的局限性。
與基于接口和基于全局的配置相比,基于安全域的防火墻支持基于安全區(qū)域的配置方式,通過將接口加入安全區(qū)域并在安全區(qū)域域間配置安全策略,既降低了網(wǎng)絡(luò)管理員配置負(fù)擔(dān),又能滿足復(fù)雜組網(wǎng)情況下針對安全區(qū)域?qū)嵤┎煌舴婪恫呗缘囊蟆?/span>
防火墻工作模式
為了增加防火墻組網(wǎng)的靈活性,設(shè)備不再定義整個(gè)設(shè)備的工作模式,而是定義接口的工作模式,接口的工作模式如下。路由模式
當(dāng)設(shè)備位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間,同時(shí)為設(shè)備與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)相連的接口分別配置不同網(wǎng)段的IP地址,并重新規(guī)劃原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。如圖1所示,規(guī)劃了2個(gè)安全區(qū)域:Trust區(qū)域和Untrust區(qū)域,設(shè)備的Trust區(qū)域接口與公司內(nèi)部網(wǎng)絡(luò)相連,Untrust區(qū)域接口與外部網(wǎng)絡(luò)相連。
需要注意的是,Trust區(qū)域接口和Untrust區(qū)域接口分別處于兩個(gè)不同的子網(wǎng)中。
圖1 路由模式組網(wǎng)圖
當(dāng)報(bào)文在三層區(qū)域的接口間進(jìn)行轉(zhuǎn)發(fā)時(shí),根據(jù)報(bào)文的IP地址來查找路由表。此時(shí)設(shè)備表現(xiàn)為一個(gè)路由器。但是,與路由器不同的是,設(shè)備轉(zhuǎn)發(fā)的IP報(bào)文還需要進(jìn)行過濾等相關(guān)處理,通過檢查會(huì)話表或ACL規(guī)則以確定是否允許該報(bào)文通過。除此之外,防火墻還需要完成其它攻擊防范檢查。
防火墻的應(yīng)用案例
防火墻應(yīng)用在內(nèi)外網(wǎng)之間
如圖2所示,防火墻用在內(nèi)外網(wǎng)絡(luò)邊緣處,防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的入侵。對于使用私有地址的內(nèi)部網(wǎng)絡(luò),可以通過NAT、ALG技術(shù)和防火墻技術(shù)結(jié)合,實(shí)現(xiàn)更進(jìn)一步的安全防護(hù)。圖2 防火墻應(yīng)用在內(nèi)外網(wǎng)之間的示意圖
防火墻在內(nèi)部網(wǎng)絡(luò)中的應(yīng)用
如圖3所示,防火墻用于內(nèi)部網(wǎng)絡(luò)中,主要是為了防止發(fā)自內(nèi)部的攻擊,保障重要數(shù)據(jù)的安全性。數(shù)據(jù)中心存儲(chǔ)了大量的公司機(jī)密。這時(shí),防火墻就需要配置嚴(yán)謹(jǐn)?shù)牟呗砸员Wo(hù)數(shù)據(jù)中心。圖3 防火墻應(yīng)用在內(nèi)部網(wǎng)絡(luò)的示意圖
以上文章由北京艾銻無限科技發(fā)展有限公司整理
相關(guān)文章
- [網(wǎng)絡(luò)服務(wù)]無線覆蓋 | 無線天線對信
- [網(wǎng)絡(luò)服務(wù)]綜合布線 | 綜合布線發(fā)展
- [數(shù)據(jù)恢復(fù)服務(wù)]電腦運(yùn)維技術(shù)文章:win1
- [服務(wù)器服務(wù)]串口服務(wù)器工作模式-服務(wù)
- [服務(wù)器服務(wù)]串口服務(wù)器的作用-服務(wù)維
- [服務(wù)器服務(wù)]moxa串口服務(wù)器通訊設(shè)置參
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|如何臨時(shí)關(guān)閉
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|如何重置IE瀏覽
- [網(wǎng)絡(luò)服務(wù)]網(wǎng)絡(luò)運(yùn)維|win10系統(tǒng)升級(jí)后
- [辦公設(shè)備服務(wù)]辦公設(shè)備:VPN簡介
- [辦公設(shè)備服務(wù)]辦公設(shè)備:VPN技術(shù)的要求
- [辦公設(shè)備服務(wù)]辦公設(shè)備:HUB集線器介紹
IT電腦維護(hù)外包
關(guān)閉