防火墙概述
安全区:公共外部网络、内联网、外联网、军事缓冲区 DMZ
有两种类型的安全策略:
白名单策略:只允许符合安全规则的报文通过防火墙,禁止其他通信;
黑名单策略:禁止与安全规则冲突的报文通过防火墙,允许其他通信报文通过。
防火墙主要功能:过滤非安全网络访问、限制网络访问、网络访问审计、网络宽带控制、协同防御
防火墙安全风险:
1.网络安全绕过
2、防火墙功能缺陷:防火墙不能完全阻止病毒感染软件或文件传输;防火墙无法阻止数据驱动的攻击;防火墙不能完全阻止后门攻击。
3. 防火墙安全机制形成单点故障和特权威胁
4、防火墙不能有效防范内部威胁
5.防火墙的有效性受安全规则的限制
防护墙的种类及实施技术
包过滤:包过滤是一种在IP层实现的防火墙技术。包过滤根据源IP地址、目的地址、源端口、目的端口、报文传输方向等报文头信息判断是否允许报文通过。包过滤的控制基础是规则保护,表示格式由规则号、匹配条件和匹配操作组成。
状态检测技术:基于状态的防火墙使用 TCP 会话和 UDP“伪”会话的状态信息作为网络访问机制。创建和维护会话表。
应用服务代理:应用服务代理防火墙充当受保护网络的内部网络主机和外部网络主机之间的网络通信连接的“中间人”。外网用户只能看到代理服务器,从而隐藏了受保护网络的内部结构和用户的计算机信息。
网络地址转换NAT:主要解决公网地址不足的问题,可以缓解少量互联网IP地址与大量主机的矛盾。实现网络地址转换的方式有 3 种:静态 NAT、NAT 池和端口 NAT (PAT)。
静态 NAT:内部网络上的每台主机都永久映射到外部网络上的合法地址。
NAT pool:配置合法地址池,通过动态分配映射到内部网络。
端口 NAT (PAT):将内部地址映射到外部网络上 IP 地址的不同端口。
WEB防火墙技术:一种基于WEB服务器和WEB应用保护的网络安全机制。
数据库防火墙技术:用户保护数据库服务器的一种网络安全机制。基于数据通信协议的深入分析和虚拟修补。
深入分析数据库通信协议,可以获得访问数据库服务器的应用数据包的“源地址、目的地址、源端口、目的端口、SQL语句”等信息。
虚拟补丁及时在数据库外部创建安全屏蔽层,对所有数据库活动进行监控,从而阻断可疑会话,防止数据库漏洞被利用,无需打数据库厂商补丁或停止服务,可保护数据库安全。
工控防火墙:工控系统专用防火墙,简称工控防火墙,是一种用于保护工业设备和系统的网络安全机制。
下一代防火墙:下一代防火墙除了集成了传统防火墙的包过滤、状态监控、地址转换等功能外,还具有应用识别和控制,可以应对安全威胁的演变web服务器安全,检测隐藏的网络活动,快速动态响应攻击,支持统一安全策略部署、智能安全管理等新功能。
常用防火墙技术:深度包检测 (DPI)、操作系统、网络协议分析
防火墙主要产品及技术指标
四大主要指标:安全功能要求、性能要求、安全保障要求、环境适应要求
安全功能指标:网络接口、协议支持、路由支持、设备虚拟化、加密支持、认证支持、访问控制、流量管理、应用层控制、攻击防护、管控功能、审计和报告
防火墙性能指标:最大吞吐量、最大连接数、最大规则数、并发连接数
防火墙防御架构类型
基于双主机防火墙结构:最基本的防火墙结构,一个主机系统至少有两个网卡,内网和外网在不同的网卡上,使内外网不直接通信。
基于代理型防火墙结构:主机连接外网,主机作为内网与外网通信的代理,代理主机位于内网,过滤路由器用来。过滤路由器的配置规则如下:
1.允许其他内部主机为某些类型的服务请求建立与外部网络的直接连接。
2、外网的任何主机只能与内网的代理主机建立连接。
3. 任何对内网的外部系统操作都必须经过代理主机。
基于屏蔽子网的防火墙结构:在代理结构中给周边网络增加一层安全机制,使用两台过滤路由器,内网与外网之间采用两层隔离。
