電腦防火墻基礎(chǔ)知識
所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.下面就讓小編帶你去看看電腦防火墻基礎(chǔ)知識,希望能幫助到大家!
電腦小知識:計(jì)算機(jī)防火墻到底是什么?能不能阻止黑客的入侵?
在網(wǎng)絡(luò)中,所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法,它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時將你“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說,如果不通過防火墻,公司內(nèi)部的人就無法訪問Internet,Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。
作用
防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù),如視頻流等,但至少這是你自己的保護(hù)選擇。
從類型上來說我們主要是分為兩種
網(wǎng)絡(luò)層防火墻
網(wǎng)絡(luò)層防火墻[3]可視為一種 IP 封包過濾器(允許或拒絕封包資料通過的軟硬結(jié)合裝置),運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式,只允許符合特定規(guī)則的封包通過,其余的一概禁止穿越防火墻(病毒除外,防火墻不能防止病毒侵入)。這些規(guī)則通常可以經(jīng)由管理員定義或修改,不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。
我們也能以另一種較寬松的角度來制定防火墻規(guī)則,只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行?,F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。
較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾,例如:來源 IP地址、來源端口號、目的 IP 地址或端口號、服務(wù)類型(如 WWW 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進(jìn)行過濾。
應(yīng)用層防火墻
應(yīng)用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運(yùn)作,您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包,并且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。
防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容,可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實(shí)現(xiàn)而言,這個方法既煩且雜(軟件有千千百百種啊),所以大部分的防火墻都不會考慮以這種方法設(shè)計(jì)。
__ML 防火墻是一種新型態(tài)的應(yīng)用層防火墻。
根據(jù)側(cè)重不同,可分為:包過濾型防火墻、應(yīng)用層網(wǎng)關(guān)型防火墻、服務(wù)器型防火墻。
基本特性
(一)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻
這是防火墻所處網(wǎng)絡(luò)位置特性,同時也是一個前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道,才可以全面、有效地保護(hù)企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)不受侵害。
根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》,防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界,屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個網(wǎng)絡(luò)連接處,比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點(diǎn),通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實(shí)現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。
典型的防火墻體系網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。從圖中可以看出,防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng),而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。
(二)只有符合安全策略的數(shù)據(jù)流才能通過防火墻
防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性,并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起,原始的防火墻是一臺“雙穴主機(jī)”,即具備兩個網(wǎng)絡(luò)接口,同時擁有兩個網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來,按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳,在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問規(guī)則和安全審查,然后將符合通過條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出,而對于那些不符合通過條件的報(bào)文則予以阻斷。因此,從這個角度上來說,防火墻是一個類似于橋接或路由器的、多端口的(網(wǎng)絡(luò)接口>=2)轉(zhuǎn)發(fā)設(shè)備,它跨接于多個分離的物理網(wǎng)段之間,并在報(bào)文轉(zhuǎn)發(fā)過程之中完成對報(bào)文的審查工作。
(三)防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力
這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣,它就像一個邊界衛(wèi)士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。它之所以具有這么強(qiáng)的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵,只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能,除了專門的防火墻嵌入系統(tǒng)外,再沒有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說是相對的。
目前國內(nèi)的防火墻幾乎被國外的品牌占據(jù)了一半的市場,國外品牌的優(yōu)勢主要是在技術(shù)和知名度上比國內(nèi)產(chǎn)品高。而國內(nèi)防火墻廠商對國內(nèi)用戶了解更加透徹,價格上也更具有優(yōu)勢。防火墻產(chǎn)品中,國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等,國內(nèi)主流廠商為東軟、天融信、山石網(wǎng)科、網(wǎng)御神州、聯(lián)想、方正等,它們都提供不同級別的防火墻產(chǎn)品。
優(yōu)點(diǎn)
(1)防火墻能強(qiáng)化安全策略。
(2)防火墻能有效地記錄Internet上的活動。
(3)防火墻限制暴露用戶點(diǎn)。防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣,能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。
(4)防火墻是一個安全策略的檢查站。所有進(jìn)出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點(diǎn),使可疑的訪問被拒絕于門外。
其他功能
除了安全作用,防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系(虛擬專用網(wǎng))。
防火墻的英文名為“FireWall”,它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講,防火墻是位于兩個(或多個)網(wǎng)絡(luò)間,實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合。
計(jì)算機(jī)隱私攻擊?;旌厦襟w
發(fā)展史
第一代防火墻
第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn),采用了包過濾(Packet filter)技術(shù)。下圖表示了防火墻技術(shù)的簡單發(fā)展歷史。
第二、三代防火墻
1989年,貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。
第四代防火墻
1992年,USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻,后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年,以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。
第五代防火墻
1998年,NAI公司推出了一種自適應(yīng)代理(Adaptive pro__y)技術(shù),并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn),給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。
一體化安全網(wǎng)關(guān)UTM
UTM統(tǒng)一威脅管理,在防火墻基礎(chǔ)上發(fā)展起來的,具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設(shè)備。由于同時開啟多項(xiàng)功能會大大降低UTM的處理性能,因此主要用于對性能要求不高的中低端領(lǐng)域。在中低端領(lǐng)域,UTM已經(jīng)出現(xiàn)了代替防火墻的趨勢,因?yàn)樵诓婚_啟附加功能的情況下,UTM本身就是一個防火墻,而附加功能又為用戶的應(yīng)用提供了更多選擇。在高端應(yīng)用領(lǐng)域,比如電信、金融等行業(yè),仍然以專用的高性能防火墻、IPS為主流。
。
防火墻知識點(diǎn)
防火墻
(一)構(gòu)造要求:
1.防火墻應(yīng)直接設(shè)置在基礎(chǔ)上或鋼筋混凝土框架上,框架、梁等承重結(jié)構(gòu)的耐火極限不應(yīng)低于防火墻的耐火極限。防火墻應(yīng)從樓地面基層隔斷至梁、樓板或屋面板的地面基層。當(dāng)高層廠房(倉庫)屋頂承重結(jié)構(gòu)和屋面板的耐火極限不低于1.00h,其他建筑屋頂承重結(jié)構(gòu)和屋面板的耐火極限低于0.50h時,防火墻應(yīng)高出屋面0.5m以上。
2.防火墻橫截面中心距天窗端面的水平距離<4m,且天窗端面為可燃性墻體時,應(yīng)采取防止火勢蔓延的措施。
3.建筑物外墻如為難燃性墻體或可燃防火墻體時,防火墻應(yīng)突出墻的外表面0.4m以上,且防火墻兩側(cè)的外墻均應(yīng)為寬度≮2.0m的不燃性墻體,其耐火極限不低于外墻的耐火極限。
建筑外墻為不燃體時,防火墻可不凸出墻的外表面,緊靠防火門兩側(cè)的門、窗、洞口之間最近邊緣的水平距離應(yīng)≮2.0m;采取設(shè)置乙級防火窗等防止火災(zāi)蔓延的措施時,該距離不限。
4.防火墻上不應(yīng)開設(shè)門、窗、洞口,如必須開設(shè)時,應(yīng)采用不可開啟或火災(zāi)時能自行關(guān)閉的甲級防火門、窗??扇?xì)怏w和甲、乙、丙類液體管道不應(yīng)穿過防火墻。其他管道如必須穿過時,應(yīng)用防火封堵材料將縫隙緊密填塞。
5.建筑物內(nèi)的防火墻不應(yīng)設(shè)在轉(zhuǎn)角處。如設(shè)在轉(zhuǎn)角附近,內(nèi)轉(zhuǎn)角兩側(cè)上的門窗洞口之間最近的水平距離應(yīng)≮4m。采用乙級窗時該距離不變
6. 設(shè)計(jì)防火墻時,應(yīng)考慮防火墻一側(cè)的屋架、梁、樓板等受到火災(zāi)的影響而破壞時,不致使防火墻倒塌。
(二)檢查內(nèi)容
1. 防火墻設(shè)置位置。
具體檢查要求為:(1)設(shè)置在建筑物的基礎(chǔ)或鋼筋混凝土框架、梁等承重結(jié)構(gòu)上的防火墻,應(yīng)從樓地面基層隔斷至梁、樓板或屋面結(jié)構(gòu)層的底面。(2)設(shè)置在轉(zhuǎn)角附近的防火墻,內(nèi)轉(zhuǎn)角兩側(cè)墻上的門、窗洞口之間最近邊緣的水平距離不得<4m,當(dāng)采取設(shè)置乙級防火窗等防止火災(zāi)水平蔓延的措施時,距離可不限。(3)防火墻的構(gòu)造應(yīng)能夠保證在防火墻任意一側(cè)的屋架、梁、樓板等受到火災(zāi)的影響而破壞時,不會導(dǎo)致防火墻倒塌。(4)緊靠防火墻兩側(cè)的門、窗、洞口之間最近邊緣的水平距離不得<2m;采取設(shè)置乙級防火窗等防止火災(zāi)水平蔓延的措施時,距離可不限。
2.防火墻墻體材料。防火墻的耐火極限一般要求為3.00h,對甲、乙類廠房和甲、乙、丙類倉庫,用于防火分區(qū)分隔的防火墻耐火極限應(yīng)保持≥4h。防火墻上必須開設(shè)門、窗和洞口時,必須設(shè)置不可開啟或火災(zāi)時能自動關(guān)閉的甲級防火門、窗。通常情況下,防火墻上不開設(shè)門、窗和洞口。
3.穿越防火墻的管道。防火墻內(nèi)不得設(shè)置排氣道、可燃?xì)怏w和甲、乙、丙類液體的管道。對穿過防火墻的其他管道,應(yīng)檢查其是否采用防火封堵材料將墻與管道之間的空隙緊密填實(shí);對穿過防火墻處的管道保溫材料,應(yīng)檢查其是否采用不燃材料;當(dāng)管道為難燃及可燃材料時,還應(yīng)檢查防火墻兩側(cè)的管道上采取的防火措施。
4.防火封堵的嚴(yán)密性。主要檢查防火墻、隔墻墻體與梁、樓板的結(jié)合是否緊密,是否無孔洞、縫隙;墻上的施工孔洞是否采用不燃材料填塞密實(shí):墻體上嵌有箱體時是否在其背部采用不燃材料封堵,以及是否滿足墻體相應(yīng)地耐火極限要求。
不燃材料填塞密實(shí):墻體上嵌有箱體時是否在其背部采用不燃材料封堵,以及是否滿足墻體相應(yīng)地耐火極限要求。答案:D舉例,2h的防火隔墻上用1.5小時的不燃材料。
IT運(yùn)維-防火墻基礎(chǔ)知識
們這里說的防火墻(Firewall)是一種網(wǎng)絡(luò)設(shè)備,它在網(wǎng)絡(luò)中起到兩個最基本的功能:劃分網(wǎng)絡(luò)的邊界、加固內(nèi)網(wǎng)的安全。
一、劃分網(wǎng)絡(luò)的邊界
防火墻設(shè)備的其中一個功能,就是劃分網(wǎng)絡(luò)的邊界,嚴(yán)格地將網(wǎng)絡(luò)分為“外網(wǎng)”和“內(nèi)網(wǎng)”。
“外網(wǎng)”則是防火墻認(rèn)為的——不安全的網(wǎng)絡(luò),不受信任的網(wǎng)絡(luò);“內(nèi)網(wǎng)”則是防火墻認(rèn)為的——安全的網(wǎng)絡(luò),受信任的網(wǎng)絡(luò)。
二、加固網(wǎng)絡(luò)的安全
防火墻的其中一個功能,就是網(wǎng)絡(luò)流量流向的問題(內(nèi)到外可以訪問,外到內(nèi)默認(rèn)不能訪問),這就從一定程度上加強(qiáng)了網(wǎng)絡(luò)的安全性,那就是:“內(nèi)網(wǎng)屬于私有環(huán)境,外人非請莫入!”
另外,防火墻還能從另外一些方面來加固內(nèi)部網(wǎng)絡(luò)的安全:
1:隱藏內(nèi)部的網(wǎng)絡(luò)拓?fù)?/p>
這種情況用于互聯(lián)網(wǎng)防火墻。因?yàn)閮?nèi)網(wǎng)一般都會使用私有IP地址,而互聯(lián)網(wǎng)是Internet的IP地址。
由于在IPv4環(huán)境下IP地址不足,內(nèi)部使用大量的私有地址,轉(zhuǎn)換到外部少量的Internet地址,這樣的話,外部網(wǎng)絡(luò)就不會了解到內(nèi)部網(wǎng)絡(luò)的路由,也就沒法了解到內(nèi)部網(wǎng)絡(luò)的拓?fù)淞恕?/p>
同時,防火墻上還會使用NAT技術(shù),將內(nèi)部的服務(wù)器映射到外部,所以從外部訪問服務(wù)器的時候只能了解到映射后的外部地址,根本不會了解到映射前的內(nèi)部地址。
2:帶有安全檢測防御
這種功能并不是每一款防火墻都有。
安全檢測系統(tǒng)(簡稱“IDS”)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報(bào)或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。
它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于,IDS是一種積極主動的安全防護(hù)技術(shù)。
3:會話日志功能
防火墻都有“會話記錄”功能,每一個數(shù)據(jù)包在經(jīng)過防火墻之后,都可以在防火墻的會話表中查詢到歷史訪問記錄。
如果是外部主機(jī)訪問內(nèi)部呢?當(dāng)然,在你的內(nèi)部網(wǎng)絡(luò)遭受不安全以后,可以在防火墻上查到從外到內(nèi),到底是哪個IP地址非法闖入了。
三、防火墻在企業(yè)環(huán)境的應(yīng)用
1:互聯(lián)網(wǎng)出口設(shè)備
這估計(jì)是大家最能想到的一種用途吧。
因?yàn)镮nternet就是一個最典型的“外網(wǎng)”,當(dāng)企業(yè)網(wǎng)絡(luò)接入Internet的時候,為了保證內(nèi)部網(wǎng)絡(luò)不受來自外部的威脅侵害,就會在互聯(lián)網(wǎng)出口的位置部署防火墻。
2:分支機(jī)構(gòu)接骨干網(wǎng)作邊界設(shè)備
在電力行業(yè)、金融行業(yè)等大型跨地,跨省的企業(yè)時,為了企業(yè)中各個省級、地市級單位的內(nèi)部數(shù)據(jù)通信通常都會自建一張骨干網(wǎng)絡(luò)。
每個省級、地市級單位辦公網(wǎng)絡(luò)接入骨干網(wǎng)時,就可以在網(wǎng)絡(luò)接入點(diǎn)部署防火墻,進(jìn)一步提高每個單位的辦公網(wǎng)絡(luò)安全性。
3:數(shù)據(jù)中心內(nèi)保護(hù)服務(wù)器
數(shù)據(jù)中心(DataCenter)是為企業(yè)存放重要數(shù)據(jù)資料的,同時數(shù)據(jù)中心內(nèi)會放置各種各樣功能不一的服務(wù)器。
想要保證數(shù)據(jù)的安全,首先就要保證這些服務(wù)器的安全。物理上的安全嘛,你就防火防水防賊唄,應(yīng)用上的安全,找殺毒軟件嘛;但是在網(wǎng)絡(luò)上防止,防止非授權(quán)人員操作服務(wù)器,就需要到防火墻來發(fā)揮作用了。
一般在傳統(tǒng)的數(shù)據(jù)中心內(nèi),會根據(jù)不同的功能來決定服務(wù)器的分區(qū),然后在每個分區(qū)和核心設(shè)備的連接處部署防火墻。
四、防火墻并不普適
不是任何場合都適合部署防火墻。
誰都知道安全性和方便性有時候會有那么一些沖突。防火墻作為一種網(wǎng)絡(luò)安全設(shè)備,部署在網(wǎng)絡(luò)中會對穿過防火墻的數(shù)據(jù)包進(jìn)行攔截,然后確定它符合策略要求以后才會放行。這會對網(wǎng)絡(luò)傳輸效率造成一定影響。
所以防火墻一般用于數(shù)據(jù)中心,大型企業(yè)總部,國有企業(yè)省級、地區(qū)級辦公機(jī)構(gòu),帶有服務(wù)器區(qū)域的網(wǎng)絡(luò)環(huán)境或機(jī)密性較高的單位。
五、防火墻的分類
防火墻按照功能和級別的不同,一般分類這么三類:包過濾型防火墻、狀態(tài)檢測型防火墻、代理型防火墻。
1:包過濾型防火墻
這種防火墻只能實(shí)現(xiàn)最基礎(chǔ)的包過濾功能,按照既定的訪問控制列表對數(shù)據(jù)包的三、四層信息進(jìn)行控制,詳細(xì)一點(diǎn)就是:
三層信息:源IP地址,目標(biāo)IP地址
四層信息:源端口,目標(biāo)端口
這種情況其實(shí)用一個路由器或者三層交換機(jī),配置ACL就能實(shí)現(xiàn)。
只有符合了條件的數(shù)據(jù)包才能被放行,不符合條件的數(shù)據(jù)包無論如何都不會被放行。但是包過濾型防火墻的性質(zhì)就是那么“教條”與“頑固不化”!
2:狀態(tài)檢測型防火墻
狀態(tài)檢測型防火墻就是為了解決“傻~”的包過濾型防火墻而存在的。它比包過濾型防火墻還多了一層“狀態(tài)檢測”功能。
狀態(tài)化檢測型防火墻可以識別出主動流量和被動流量,如果主動流量是被允許的,那么被動流量也是被允許的。
例如TCP的三次握手中,第一次流量是主動流量,從內(nèi)到外,第二次流量就是從外到內(nèi)的被動流量,這可以被狀態(tài)監(jiān)測型防火墻識別出并且放行。
狀態(tài)監(jiān)測型防火墻會有一張“連接表”,里面記錄合法流量的信息。當(dāng)被動流量彈回時,防火墻就會檢查“連接表”,只要在“連接表”中查到匹配的記錄,就會放行這個流量。
第一次握手,內(nèi)部主機(jī)10.112.100.101使用隨機(jī)端口10025訪問外部的WebServer
200.100.1.2的TCP 80
三層信息
源IP地址:10.112.100.101 目標(biāo)IP地址:200.100.1.2源端口:TCP 10025 目標(biāo)端口:TCP 80
由于內(nèi)部接口放行所有流量,所以這個第一次握手的流量被放行了
但此時,防火墻在連接表中生成了如下內(nèi)容:
第二次握手時,是外部主機(jī)被動彈回的流量
源地址(外部):200.100.1.2 源端口(外部):TCP 80
目標(biāo)地址(內(nèi)部):10.112.100.101 目標(biāo)端口(內(nèi)部):TCP 10025
此時,防火墻會暫時攔截流量,然后檢查連接表,看看內(nèi)部主機(jī)的IP和端口,外部主機(jī)的IP和端口是否與連接表中記錄的相同,如果相同,它就會放行這個流量。
如果是外部主動發(fā)起的流量,而防火墻又沒有允許它訪問內(nèi)部,由于是外部主動發(fā)起的流量,所以防火墻的連接表里沒有相應(yīng)的信息,這就會遭到防火墻的拒絕。
從而達(dá)到既保證了內(nèi)部到外部的正常通信,又使得內(nèi)部主機(jī)不受到外部的侵犯,這就是狀態(tài)檢測型防火墻的魅力所在。
目前主流的硬件防火墻幾乎都支持狀態(tài)監(jiān)測功能。
3:代理型防火墻
代理型防火墻一般是一個安裝在多網(wǎng)卡服務(wù)器上的軟件,擁有狀態(tài)監(jiān)測的功能,但是多了一項(xiàng)功能就是代理服務(wù)器功能。一般有正向代理和反向代理兩種功能:
正向代理用于內(nèi)部主機(jī)訪問Internet服務(wù)器的時候,特別是Web服務(wù)的時候很管用。當(dāng)內(nèi)部主機(jī)第一次訪問外部的Web服務(wù)器時,代理服務(wù)器會將訪問后的內(nèi)容放在自己的“高速緩存”中。
當(dāng)內(nèi)部主機(jī)再次訪問該Web服務(wù)器的時候,如果有相同的內(nèi)容,代理服務(wù)器就會將這個訪問定位到自己的高速緩存,從而提升內(nèi)部主機(jī)的訪問速度。
反向代理和正向代理有點(diǎn)類似,只不過訪問的方向是外部到內(nèi)部。
當(dāng)外部主機(jī)要訪問內(nèi)部發(fā)布的某個服務(wù)器的時候,不會讓它把訪問目標(biāo)定位到內(nèi)部服務(wù)器上,而是反向代理設(shè)備上。
反向代理設(shè)備會從真實(shí)的服務(wù)器上抽取數(shù)據(jù)到自己的緩存中,起到保護(hù)真實(shí)服務(wù)器的功能。
電腦防火墻基礎(chǔ)知識相關(guān)文章:
★ 【電腦知識】:防火墻的工作技術(shù)分類與基礎(chǔ)原理是什么?
★ 【網(wǎng)絡(luò)安全】:網(wǎng)絡(luò)安全基礎(chǔ)知識點(diǎn)匯總