防火墙详解(一) 网络防火墙简介

原文链接:https://blog.csdn.net/qq_46254436/article/details/105519624

文章目录
定义
与路由器和交换机的区别
发展历史
防火墙安全区域
定义
防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为

在这里插入图片描述

“防火墙”一词起源于建筑领域,用来隔离火灾,阻止火势从一个区域蔓延到另一个区域。引入到通信领域,防火墙这一具体设备通常用于两个网络之间有针对性的、逻辑意义上的隔离。当然,这种隔离是高明的,隔离的是“火”的蔓延,而又保证“人”的穿墙而过。这里的“火”是指网络中的各种攻击,而“人”是指正常的通信报文。

用通信语言来定义,防火墙主要用于保护一个网络区域免受来自另一个网络区域的网络攻击和网络入侵行为。因其隔离、防守的属性,灵活应用于网络边界、子网隔离等位置,具体如企业网络出口、大型网络内部子网隔离、数据中心边界等等。

防火墙的一些特征

一般防火墙放在内网和外网之间
隐藏内网结构
自己具有安全保障
防火墙是拒ping的,为流量黑洞。通俗的来讲就是ping防火墙是ping不通的


与路由器和交换机的区别
防火墙与路由器、交换机是有区别的。
路由器用来连接不同的网络,通过路由协议保证互联互通,确保将报文转发到目的地;
交换机则通常用来组建局域网,作为局域网通信的重要枢纽,通过二层/三层交换快速转发报文;
而防火墙主要部署在网络边界,对进出网络的访问行为进行控制,安全防护是其核心特性。路由器与交换机的本质是转发,防火墙的本质是控制。
现阶段中低端路由器与防火墙有合一趋势,主要也是因为二者互相功能兼具,变成all in one的目标,华为也发布了一系列中低端设备。

在这里插入图片描述
发展历史

 在这里插入图片描述

最早的防火墙可以追溯到上世纪80年代末期,距今已有二十多年的历史。在这二十多年间,防火墙的发展过程大致可以划分为下面三个时期:

1989年至1994年:

1989年产生了包过滤防火墙,实现简单的访问控制,称之为第一代防火墙。
通过检测数据报文的头部来防控:通过五元组来过滤数据包
包过滤有较多的缺点
无法关联数据包之间的关系(如:TCP三次握手,有三次报文的交互,包过滤防火墙会每个包都检测)导致防火墙处理速度慢。
无法适应多通道协议(如:FTP)
通过不检查应用层包含的数据,不安全。
由于包过滤防火墙处理流量的时候速度慢,对应用层的数据不检测,所以出现了代理防火墙,在应用层代理内部网络和外部网络之间的通信,属于第二代防火墙。代理防火墙安全性较高,但处理速度慢,而且对每一种应用开发一个对应的代理服务是很难做到的,因此只能对少量的应用提供代理支持。

优点
安全性很高(针对每种不同的应用开发;而且过滤时不仅仅只看五元组,还对数据进行详细的刨析)
缺点
开发难度大(需要针对每种不同的应用开发)(个别如:专门保护Web服务器安全的WAF(Web Application Firewall,Web应用防火墙))
效率低,处理速度慢
由于以上两种防火墙技术都有一定的缺点,所以目前使用上述两种技术的防火墙并不多。

1994年业界发布了第一台基于状态检测技术的防火墙,通过动态分析报文的状态来决定对报文采取的动作,不需要为每个应用程序都进行代理,处理速度快而且安全性高。状态检测防火墙被称为第三代防火墙。状态检测防火墙也是目前最常用的防火墙。

优点
处理速度快:处理第一个数据包,后续相关联的包通过会话表项进行快速转发。这样既保证了安全又保证了速度。
简单工作机制:假设发送者发送6个包,防火墙会处理第一个包,并根据第一个包建立对应的会话表项,后续数据包根据匹配会话表项进行转发。(具体后面有文章做介绍)

1995年至2004年:
在这一时期,状态检测防火墙已经成为趋势。除了访问控制功能之外,防火墙上也开始增加一些其他功能,如VPN。
2004年业界提出了UTM(United Threat Management,统一威胁管理)的概念,将传统防火墙、入侵检测、防病毒、URL过滤、应用程序控制、邮件过滤等功能融合到一台防火墙上,实现全面的安全防护。
2004年后,UTM市场得到了快速的发展,UTM产品如雨后春笋般涌现,但面临新的问题。首先是对应用层信息的检测程度受到限制,此时就需要更高级的检测手段,这使得DPI(Deep Packet Inspection,深度报文检测)技术得到广泛应用。其次是性能问题,多个功能同时运行,UTM设备的处理性能将会严重下降。
2008年业界发布了下一代防火墙,解决了多个功能同时运行时性能下降的问题。同时,还可以基于用户、应用和内容来进行管控。
2009年业界对下一代防火墙进行了定义,明确下一代防火墙应具备的功能特性。随后各个安全厂商也推出了各自的下一代防火墙产品,防火墙进入了一个新的时代。

防火墙安全区域
防火墙怎么去防御呢?
很简单,防火墙以自身为中心,将整个网络划分成不同的区域(Zone),通过的流量来自不同的区域,来决定是否通过。

缺省区域的划分:

缺省区域解释安全等级
Local本地区域:防火墙自身100
Trust信任区域:需要保护的区域85
DMZ公共区域/中立区域/非军事化区域50
Untrust不信任区域:需要地域的区域5

以上为防火墙的缺省区域,若需要其他区域我们可自行创建,但是创建的区域的安全等级不能相同。
我们一般将内网放在Trust区域,外网放在Untrust区域,将服务器等需要共同访问的放在DMZ区域。

安全等级:标记安全区域的可信程度,数值越高,信任程度越高。

在这里插入图片描述
Zone的作用: 

安全策略都基于安全区域实施
在同一安全区域内部发生的数据流动是不存在安全风险的,不需要实施任何安全策略
只有当不同安全区域之间发生数据流动时,才会触发设备的安全检查,并实施相应的安全策略
在防火墙中,同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络
注意:在防火墙中是以接口为单位来进行分类,即同一个接口所连网络的所有网络设备一定位于同一安全区域中,而一个安全区域可以包含多个接口所连的网络。这里的接口既可以是物理接口,也可以是逻辑接口。所以可以通过子接口或者VLAN IF等逻辑接口实现将同一物理接口所连的不同网段的用户划入不同安全区域的功能。

原文链接:https://blog.csdn.net/qq_46254436/article/details/105519624

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/430017.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

苍穹外卖学习日志 -----20天项目从零到完结-----含软件下载,环境配置,框架学习,代码编写,报错处理,测试联调,每日总结,心路历程等等......

年份 2024 基础:Javase Javaweb 已完结 2024 8.25---9.14 20天 Day-01 8.25 今天开始学习已经晚了,网盘下载了一下文件,做了一些开始项目的准备工作。 本来其实打算用notepad来写学习日志的,但是那个传…

FreeRTOS学习——链表list

FreeRTOS学习——链表(列表)list,仅用于记录自己阅读与学习源码 FreeRTOS Kernel V10.5.1 参考大佬的好文章: freertos内核原理 Day1(链表) FreeRTOS-链表的源码解析 *list_t只能存储指向list_item_t的指针。每个list_item_t都…

【Taro】初识 Taro

笔记来源:编程导航。 概述 Taro 官方文档:https://taro-docs.jd.com/docs/ (跨端开发框架) Taro 官方框架兼容的组件库: taro-ui:https://taro-ui.jd.com/#/ (最推荐,兼容性最好&…

【渗透测试】-vulnhub源码框架漏洞-Os-hackNos-1

vulnhub源码框架漏洞中的CVE-2018-7600-Drupal 7.57 文章目录  前言 1.靶场搭建: 2.信息搜集: 主机探测: 端口扫描: 目录扫描: 3.分析: 4.步骤: 1.下载CVE-2018-7600的exp 2.执行exp: 3.写入木…

电玩店ps5倒计时软件试用版下载 佳易王电玩计时计费管理系统操作教程

一、前言 电玩店ps5倒计时软件试用版下载 佳易王电玩计时计费管理系统操作教程 佳易王电玩店计时计费软件,有两款,其中一款可显示倒计时剩余分钟数,另外一款是显示用了多长时间,都可以设置定时语音提醒。 二、显示倒计时软件图文…

【超详细】基于YOLOv8训练无人机视角Visdrone2019数据集

主要内容如下: 1、Visdrone2019数据集介绍 2、下载、制作YOLO格式训练集 3、模型训练及预测 4、Onnxruntime推理 运行环境:Python3.8(要求>3.8),torch1.12.0cu113(要求>1.8)&#xff0c…

策略模式与工厂模式的区别

《策略模式与工厂模式的区别》 策略模式(Strategy Pattern) 和 工厂模式(Factory Pattern) 都是常见的设计模式,虽然它们在设计目标上有一些相似之处,如解耦代码、增强扩展性,但它们的应用场景和…

基于单片机的智能小车的开发与设计

摘要:本文论述了基于 STC89C52 单片机的智能小车的开发与设计过程。该设计采用单片机、电机驱动及光电循迹等技术,保证小车在无人管理状态下,能按照预先设定的线路实现自动循迹功能。在电路结构设计中力求方便,可操作,…

文件操作

文件的由来:在程序中,之前每一个程序都是需要运行然后输入数据,当程序结束时输入的数据也随之消散,为了下一次运行时不再输入数据就有文件的由来,使用文件我们可以将数据直接存放在电脑的硬盘上,做到了数据…

软件著作权登记所需要的材料

软件著作权登记所需材料全面解析 在当今数字化时代,软件著作权作为保护软件开发者智力劳动成果的重要法律手段,其登记过程显得尤为重要。 一、软件著作权登记申请表 首先,软件著作权登记需要提交的最基本材料是《软件著作权登记申请表》。这份…

照片写真记录摄影作品记录网站源码

完美适应iPad,平板,手机竖屏不支持lazy,横屏可以,但建议使用平板查看效果, 有服务器直接上传解压使用,环境nginxphp, 没有服务器也没关系,可以直接使用html

前端项目代码开发规范及工具配置

在项目开发中,良好的代码编写规范是项目组成的重要元素。本文将详细介绍在项目开发中如何集成相应的代码规范插件及使用方法。 项目规范及工具 集成 EditorConfig集成 Prettier1. 安装 Prettier2. 创建 Prettier 配置文件3. 配置 .prettierrc4. 使用 Prettier 集成 …

计算机毕业设计 基于Python的食品销售数据分析系统 SpringBoot+Vue 前后端分离 附源码 讲解 文档

🍊作者:计算机编程-吉哥 🍊简介:专业从事JavaWeb程序开发,微信小程序开发,定制化项目、 源码、代码讲解、文档撰写、ppt制作。做自己喜欢的事,生活就是快乐的。 🍊心愿:点…

LeetCode Hot100 C++ 哈希 1.两数之和

LeetCode Hot100 C 1.两数之和 给定一个整数数组 nums 和一个整数目标值 target,请你在该数组中找出 和为目标值 target 的那 两个整数,并返回它们的数组下标。 你可以假设每种输入只会对应一个答案,并且你不能使用两次相同的元素。 你可以按…

基于STM32的智能花盆控制系统设计-设计说明书设计

设计摘要: 随着人们对室内绿植的热爱与需求日益增长,智能花盆控制系统作为一种新兴的智能化管理方式,受到了广泛关注。本文旨在设计一种基于STM32的智能花盆控制系统,以实现对花盆的自动浇水、温湿度监测和光照控制等功能。 在硬…

Android轻量级RTSP服务使用场景分析和设计探讨

技术背景 好多开发者,对我们Android平台轻量级RTSP服务模块有些陌生,不知道这个模块具体适用于怎样的场景,有什么优缺点,实际上,我们的Android平台轻量级RTSP服务模块更适用于内网环境下、对并发要求不高的场景&#…

基于对数变换的图像美白增强,Matlab实现

博主简介:matlab图像处理(QQ:3249726188) ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 本次案例是基于对数变换的图像美白增强,用matlab实现。 一、案例背景和算法介绍 这次案例是美白算法&…

大数据可视化-三元图

三元图是一种用于表示三种变量之间关系的可视化工具,常用于化学、材料科学和地质学等领域。它的特点是将三个变量的比例关系在一个等边三角形中展示,使得每个点的位置代表三个变量的相对比例。 1. 结构 三个角分别表示三个变量的最大值(通常…

爬虫 ----hook

目录 定义: 了解什么是hook? 举例 hook XHR请求 XMLHttpRequest 案例地址: Interceptors-拦截器 HOOK cookie操作 cookie 示范 常见的hook代码总结 1.Hook Cookie 2.Hook Header 3.Hook URL 4.Hook JSON.stringify 5.Hook JSON.parse 6.Ho…

蓝桥杯嵌入式的学习总结

一. 前言 嵌入式竞赛实训平台(CT117E-M4) 是北京国信长天科技有限公司设计,生产的一款 “ 蓝桥杯全国软件与信息技术专业人才大赛-嵌入式设计与开发科目 “ 专用竞赛平台,平台以STM32G431RBT6为主控芯片,预留扩展板接口,可为用户提…