特黄特色三级在线观看免费,看黄色片子免费,色综合久,欧美在线视频看看,高潮胡言乱语对白刺激国产,伊人网成人,中文字幕亚洲一碰就硬老熟妇

學(xué)習(xí)啦 > 學(xué)習(xí)電腦 > 電腦安全 > 防火墻知識 >

電腦防火墻基礎(chǔ)知識

時間: 懷健20 分享

所謂防火墻指的是一個由軟件和硬件設(shè)備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護(hù)屏障.下面就讓小編帶你去看看電腦防火墻基礎(chǔ)知識,希望能幫助到大家!

電腦小知識:計(jì)算機(jī)防火墻到底是什么?能不能阻止黑客的入侵?

在網(wǎng)絡(luò)中,所謂“防火墻”,是指一種將內(nèi)部網(wǎng)和公眾訪問網(wǎng)(如Internet)分開的方法,它實(shí)際上是一種隔離技術(shù)。防火墻是在兩個網(wǎng)絡(luò)通訊時執(zhí)行的一種訪問控制尺度,它能允許你“同意”的人和數(shù)據(jù)進(jìn)入你的網(wǎng)絡(luò),同時將你“不同意”的人和數(shù)據(jù)拒之門外,最大限度地阻止網(wǎng)絡(luò)中的黑客來訪問你的網(wǎng)絡(luò)。換句話說,如果不通過防火墻,公司內(nèi)部的人就無法訪問Internet,Internet上的人也無法和公司內(nèi)部的人進(jìn)行通信。

作用

防火墻具有很好的保護(hù)作用。入侵者必須首先穿越防火墻的安全防線,才能接觸目標(biāo)計(jì)算機(jī)。你可以將防火墻配置成許多不同保護(hù)級別。高級別的保護(hù)可能會禁止一些服務(wù),如視頻流等,但至少這是你自己的保護(hù)選擇。

從類型上來說我們主要是分為兩種

網(wǎng)絡(luò)層防火墻

網(wǎng)絡(luò)層防火墻[3]可視為一種 IP 封包過濾器(允許或拒絕封包資料通過的軟硬結(jié)合裝置),運(yùn)作在底層的 TCP/IP 協(xié)議堆棧上。我們可以以枚舉的方式,只允許符合特定規(guī)則的封包通過,其余的一概禁止穿越防火墻(病毒除外,防火墻不能防止病毒侵入)。這些規(guī)則通常可以經(jīng)由管理員定義或修改,不過某些防火墻設(shè)備可能只能套用內(nèi)置的規(guī)則。

我們也能以另一種較寬松的角度來制定防火墻規(guī)則,只要封包不符合任何一項(xiàng)“否定規(guī)則”就予以放行?,F(xiàn)在的操作系統(tǒng)及網(wǎng)絡(luò)設(shè)備大多已內(nèi)置防火墻功能。

較新的防火墻能利用封包的多樣屬性來進(jìn)行過濾,例如:來源 IP地址、來源端口號、目的 IP 地址或端口號、服務(wù)類型(如 WWW 或是 FTP)。也能經(jīng)由通信協(xié)議、TTL 值、來源的網(wǎng)域名稱或網(wǎng)段...等屬性來進(jìn)行過濾。

應(yīng)用層防火墻

應(yīng)用層防火墻是在 TCP/IP 堆棧的“應(yīng)用層”上運(yùn)作,您使用瀏覽器時所產(chǎn)生的數(shù)據(jù)流或是使用 FTP 時的數(shù)據(jù)流都是屬于這一層。應(yīng)用層防火墻可以攔截進(jìn)出某應(yīng)用程序的所有封包,并且封鎖其他的封包(通常是直接將封包丟棄)。理論上,這一類的防火墻可以完全阻絕外部的數(shù)據(jù)流進(jìn)到受保護(hù)的機(jī)器里。

防火墻借由監(jiān)測所有的封包并找出不符規(guī)則的內(nèi)容,可以防范電腦蠕蟲或是木馬程序的快速蔓延。不過就實(shí)現(xiàn)而言,這個方法既煩且雜(軟件有千千百百種啊),所以大部分的防火墻都不會考慮以這種方法設(shè)計(jì)。

__ML 防火墻是一種新型態(tài)的應(yīng)用層防火墻。

根據(jù)側(cè)重不同,可分為:包過濾型防火墻、應(yīng)用層網(wǎng)關(guān)型防火墻、服務(wù)器型防火墻。

基本特性

(一)內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間的所有網(wǎng)絡(luò)數(shù)據(jù)流都必須經(jīng)過防火墻

這是防火墻所處網(wǎng)絡(luò)位置特性,同時也是一個前提。因?yàn)橹挥挟?dāng)防火墻是內(nèi)、外部網(wǎng)絡(luò)之間通信的唯一通道,才可以全面、有效地保護(hù)企業(yè)網(wǎng)內(nèi)部網(wǎng)絡(luò)不受侵害。

根據(jù)美國國家安全局制定的《信息保障技術(shù)框架》,防火墻適用于用戶網(wǎng)絡(luò)系統(tǒng)的邊界,屬于用戶網(wǎng)絡(luò)邊界的安全保護(hù)設(shè)備。所謂網(wǎng)絡(luò)邊界即是采用不同安全策略的兩個網(wǎng)絡(luò)連接處,比如用戶網(wǎng)絡(luò)和互聯(lián)網(wǎng)之間連接、和其它業(yè)務(wù)往來單位的網(wǎng)絡(luò)連接、用戶內(nèi)部網(wǎng)絡(luò)不同部門之間的連接等。防火墻的目的就是在網(wǎng)絡(luò)連接之間建立一個安全控制點(diǎn),通過允許、拒絕或重新定向經(jīng)過防火墻的數(shù)據(jù)流,實(shí)現(xiàn)對進(jìn)、出內(nèi)部網(wǎng)絡(luò)的服務(wù)和訪問的審計(jì)和控制。

典型的防火墻體系網(wǎng)絡(luò)結(jié)構(gòu)如下圖所示。從圖中可以看出,防火墻的一端連接企事業(yè)單位內(nèi)部的局域網(wǎng),而另一端則連接著互聯(lián)網(wǎng)。所有的內(nèi)、外部網(wǎng)絡(luò)之間的通信都要經(jīng)過防火墻。

(二)只有符合安全策略的數(shù)據(jù)流才能通過防火墻

防火墻最基本的功能是確保網(wǎng)絡(luò)流量的合法性,并在此前提下將網(wǎng)絡(luò)的流量快速的從一條鏈路轉(zhuǎn)發(fā)到另外的鏈路上去。從最早的防火墻模型開始談起,原始的防火墻是一臺“雙穴主機(jī)”,即具備兩個網(wǎng)絡(luò)接口,同時擁有兩個網(wǎng)絡(luò)層地址。防火墻將網(wǎng)絡(luò)上的流量通過相應(yīng)的網(wǎng)絡(luò)接口接收上來,按照OSI協(xié)議棧的七層結(jié)構(gòu)順序上傳,在適當(dāng)?shù)膮f(xié)議層進(jìn)行訪問規(guī)則和安全審查,然后將符合通過條件的報(bào)文從相應(yīng)的網(wǎng)絡(luò)接口送出,而對于那些不符合通過條件的報(bào)文則予以阻斷。因此,從這個角度上來說,防火墻是一個類似于橋接或路由器的、多端口的(網(wǎng)絡(luò)接口>=2)轉(zhuǎn)發(fā)設(shè)備,它跨接于多個分離的物理網(wǎng)段之間,并在報(bào)文轉(zhuǎn)發(fā)過程之中完成對報(bào)文的審查工作。

(三)防火墻自身應(yīng)具有非常強(qiáng)的抗攻擊免疫力

這是防火墻之所以能擔(dān)當(dāng)企業(yè)內(nèi)部網(wǎng)絡(luò)安全防護(hù)重任的先決條件。防火墻處于網(wǎng)絡(luò)邊緣,它就像一個邊界衛(wèi)士一樣,每時每刻都要面對黑客的入侵,這樣就要求防火墻自身要具有非常強(qiáng)的抗擊入侵本領(lǐng)。它之所以具有這么強(qiáng)的本領(lǐng)防火墻操作系統(tǒng)本身是關(guān)鍵,只有自身具有完整信任關(guān)系的操作系統(tǒng)才可以談?wù)撓到y(tǒng)的安全性。其次就是防火墻自身具有非常低的服務(wù)功能,除了專門的防火墻嵌入系統(tǒng)外,再沒有其它應(yīng)用程序在防火墻上運(yùn)行。當(dāng)然這些安全性也只能說是相對的。

目前國內(nèi)的防火墻幾乎被國外的品牌占據(jù)了一半的市場,國外品牌的優(yōu)勢主要是在技術(shù)和知名度上比國內(nèi)產(chǎn)品高。而國內(nèi)防火墻廠商對國內(nèi)用戶了解更加透徹,價格上也更具有優(yōu)勢。防火墻產(chǎn)品中,國外主流廠商為思科(Cisco)、CheckPoint、NetScreen等,國內(nèi)主流廠商為東軟、天融信、山石網(wǎng)科、網(wǎng)御神州、聯(lián)想、方正等,它們都提供不同級別的防火墻產(chǎn)品。

優(yōu)點(diǎn)

(1)防火墻能強(qiáng)化安全策略。

(2)防火墻能有效地記錄Internet上的活動。

(3)防火墻限制暴露用戶點(diǎn)。防火墻能夠用來隔開網(wǎng)絡(luò)中一個網(wǎng)段與另一個網(wǎng)段。這樣,能夠防止影響一個網(wǎng)段的問題通過整個網(wǎng)絡(luò)傳播。

(4)防火墻是一個安全策略的檢查站。所有進(jìn)出的信息都必須通過防火墻,防火墻便成為安全問題的檢查點(diǎn),使可疑的訪問被拒絕于門外。

其他功能

除了安全作用,防火墻還支持具有Internet服務(wù)特性的企業(yè)內(nèi)部網(wǎng)絡(luò)技術(shù)體系(虛擬專用網(wǎng))。

防火墻的英文名為“FireWall”,它是目前一種最重要的網(wǎng)絡(luò)防護(hù)設(shè)備。從專業(yè)角度講,防火墻是位于兩個(或多個)網(wǎng)絡(luò)間,實(shí)施網(wǎng)絡(luò)之間訪問控制的一組組件集合。

計(jì)算機(jī)隱私攻擊?;旌厦襟w

發(fā)展史

第一代防火墻

第一代防火墻技術(shù)幾乎與路由器同時出現(xiàn),采用了包過濾(Packet filter)技術(shù)。下圖表示了防火墻技術(shù)的簡單發(fā)展歷史。

第二、三代防火墻

1989年,貝爾實(shí)驗(yàn)室的Dave Presotto和Howard Trickey推出了第二代防火墻,即電路層防火墻,同時提出了第三代防火墻——應(yīng)用層防火墻(代理防火墻)的初步結(jié)構(gòu)。

第四代防火墻

1992年,USC信息科學(xué)院的BobBraden開發(fā)出了基于動態(tài)包過濾(Dynamic packet filter)技術(shù)的第四代防火墻,后來演變?yōu)槟壳八f的狀態(tài)監(jiān)視(Stateful inspection)技術(shù)。1994年,以色列的CheckPoint公司開發(fā)出了第一個采用這種技術(shù)的商業(yè)化的產(chǎn)品。

第五代防火墻

1998年,NAI公司推出了一種自適應(yīng)代理(Adaptive pro__y)技術(shù),并在其產(chǎn)品Gauntlet Firewall for NT中得以實(shí)現(xiàn),給代理類型的防火墻賦予了全新的意義,可以稱之為第五代防火墻。

一體化安全網(wǎng)關(guān)UTM

UTM統(tǒng)一威脅管理,在防火墻基礎(chǔ)上發(fā)展起來的,具備防火墻、IPS、防病毒、防垃圾郵件等綜合功能的設(shè)備。由于同時開啟多項(xiàng)功能會大大降低UTM的處理性能,因此主要用于對性能要求不高的中低端領(lǐng)域。在中低端領(lǐng)域,UTM已經(jīng)出現(xiàn)了代替防火墻的趨勢,因?yàn)樵诓婚_啟附加功能的情況下,UTM本身就是一個防火墻,而附加功能又為用戶的應(yīng)用提供了更多選擇。在高端應(yīng)用領(lǐng)域,比如電信、金融等行業(yè),仍然以專用的高性能防火墻、IPS為主流。

。

防火墻知識點(diǎn)

防火墻

(一)構(gòu)造要求:

1.防火墻應(yīng)直接設(shè)置在基礎(chǔ)上或鋼筋混凝土框架上,框架、梁等承重結(jié)構(gòu)的耐火極限不應(yīng)低于防火墻的耐火極限。防火墻應(yīng)從樓地面基層隔斷至梁、樓板或屋面板的地面基層。當(dāng)高層廠房(倉庫)屋頂承重結(jié)構(gòu)和屋面板的耐火極限不低于1.00h,其他建筑屋頂承重結(jié)構(gòu)和屋面板的耐火極限低于0.50h時,防火墻應(yīng)高出屋面0.5m以上。

2.防火墻橫截面中心距天窗端面的水平距離<4m,且天窗端面為可燃性墻體時,應(yīng)采取防止火勢蔓延的措施。

3.建筑物外墻如為難燃性墻體或可燃防火墻體時,防火墻應(yīng)突出墻的外表面0.4m以上,且防火墻兩側(cè)的外墻均應(yīng)為寬度≮2.0m的不燃性墻體,其耐火極限不低于外墻的耐火極限。

建筑外墻為不燃體時,防火墻可不凸出墻的外表面,緊靠防火門兩側(cè)的門、窗、洞口之間最近邊緣的水平距離應(yīng)≮2.0m;采取設(shè)置乙級防火窗等防止火災(zāi)蔓延的措施時,該距離不限。

4.防火墻上不應(yīng)開設(shè)門、窗、洞口,如必須開設(shè)時,應(yīng)采用不可開啟或火災(zāi)時能自行關(guān)閉的甲級防火門、窗??扇?xì)怏w和甲、乙、丙類液體管道不應(yīng)穿過防火墻。其他管道如必須穿過時,應(yīng)用防火封堵材料將縫隙緊密填塞。

5.建筑物內(nèi)的防火墻不應(yīng)設(shè)在轉(zhuǎn)角處。如設(shè)在轉(zhuǎn)角附近,內(nèi)轉(zhuǎn)角兩側(cè)上的門窗洞口之間最近的水平距離應(yīng)≮4m。采用乙級窗時該距離不變

6. 設(shè)計(jì)防火墻時,應(yīng)考慮防火墻一側(cè)的屋架、梁、樓板等受到火災(zāi)的影響而破壞時,不致使防火墻倒塌。

(二)檢查內(nèi)容

1. 防火墻設(shè)置位置。

具體檢查要求為:(1)設(shè)置在建筑物的基礎(chǔ)或鋼筋混凝土框架、梁等承重結(jié)構(gòu)上的防火墻,應(yīng)從樓地面基層隔斷至梁、樓板或屋面結(jié)構(gòu)層的底面。(2)設(shè)置在轉(zhuǎn)角附近的防火墻,內(nèi)轉(zhuǎn)角兩側(cè)墻上的門、窗洞口之間最近邊緣的水平距離不得<4m,當(dāng)采取設(shè)置乙級防火窗等防止火災(zāi)水平蔓延的措施時,距離可不限。(3)防火墻的構(gòu)造應(yīng)能夠保證在防火墻任意一側(cè)的屋架、梁、樓板等受到火災(zāi)的影響而破壞時,不會導(dǎo)致防火墻倒塌。(4)緊靠防火墻兩側(cè)的門、窗、洞口之間最近邊緣的水平距離不得<2m;采取設(shè)置乙級防火窗等防止火災(zāi)水平蔓延的措施時,距離可不限。

2.防火墻墻體材料。防火墻的耐火極限一般要求為3.00h,對甲、乙類廠房和甲、乙、丙類倉庫,用于防火分區(qū)分隔的防火墻耐火極限應(yīng)保持≥4h。防火墻上必須開設(shè)門、窗和洞口時,必須設(shè)置不可開啟或火災(zāi)時能自動關(guān)閉的甲級防火門、窗。通常情況下,防火墻上不開設(shè)門、窗和洞口。

3.穿越防火墻的管道。防火墻內(nèi)不得設(shè)置排氣道、可燃?xì)怏w和甲、乙、丙類液體的管道。對穿過防火墻的其他管道,應(yīng)檢查其是否采用防火封堵材料將墻與管道之間的空隙緊密填實(shí);對穿過防火墻處的管道保溫材料,應(yīng)檢查其是否采用不燃材料;當(dāng)管道為難燃及可燃材料時,還應(yīng)檢查防火墻兩側(cè)的管道上采取的防火措施。

4.防火封堵的嚴(yán)密性。主要檢查防火墻、隔墻墻體與梁、樓板的結(jié)合是否緊密,是否無孔洞、縫隙;墻上的施工孔洞是否采用不燃材料填塞密實(shí):墻體上嵌有箱體時是否在其背部采用不燃材料封堵,以及是否滿足墻體相應(yīng)地耐火極限要求。

不燃材料填塞密實(shí):墻體上嵌有箱體時是否在其背部采用不燃材料封堵,以及是否滿足墻體相應(yīng)地耐火極限要求。答案:D舉例,2h的防火隔墻上用1.5小時的不燃材料。

IT運(yùn)維-防火墻基礎(chǔ)知識

們這里說的防火墻(Firewall)是一種網(wǎng)絡(luò)設(shè)備,它在網(wǎng)絡(luò)中起到兩個最基本的功能:劃分網(wǎng)絡(luò)的邊界、加固內(nèi)網(wǎng)的安全。

一、劃分網(wǎng)絡(luò)的邊界

防火墻設(shè)備的其中一個功能,就是劃分網(wǎng)絡(luò)的邊界,嚴(yán)格地將網(wǎng)絡(luò)分為“外網(wǎng)”和“內(nèi)網(wǎng)”。

“外網(wǎng)”則是防火墻認(rèn)為的——不安全的網(wǎng)絡(luò),不受信任的網(wǎng)絡(luò);“內(nèi)網(wǎng)”則是防火墻認(rèn)為的——安全的網(wǎng)絡(luò),受信任的網(wǎng)絡(luò)。

二、加固網(wǎng)絡(luò)的安全

防火墻的其中一個功能,就是網(wǎng)絡(luò)流量流向的問題(內(nèi)到外可以訪問,外到內(nèi)默認(rèn)不能訪問),這就從一定程度上加強(qiáng)了網(wǎng)絡(luò)的安全性,那就是:“內(nèi)網(wǎng)屬于私有環(huán)境,外人非請莫入!”

另外,防火墻還能從另外一些方面來加固內(nèi)部網(wǎng)絡(luò)的安全:

1:隱藏內(nèi)部的網(wǎng)絡(luò)拓?fù)?/p>

這種情況用于互聯(lián)網(wǎng)防火墻。因?yàn)閮?nèi)網(wǎng)一般都會使用私有IP地址,而互聯(lián)網(wǎng)是Internet的IP地址。

由于在IPv4環(huán)境下IP地址不足,內(nèi)部使用大量的私有地址,轉(zhuǎn)換到外部少量的Internet地址,這樣的話,外部網(wǎng)絡(luò)就不會了解到內(nèi)部網(wǎng)絡(luò)的路由,也就沒法了解到內(nèi)部網(wǎng)絡(luò)的拓?fù)淞恕?/p>

同時,防火墻上還會使用NAT技術(shù),將內(nèi)部的服務(wù)器映射到外部,所以從外部訪問服務(wù)器的時候只能了解到映射后的外部地址,根本不會了解到映射前的內(nèi)部地址。

2:帶有安全檢測防御

這種功能并不是每一款防火墻都有。

安全檢測系統(tǒng)(簡稱“IDS”)是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時監(jiān)視,在發(fā)現(xiàn)可疑傳輸時發(fā)出警報(bào)或者采取主動反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。

它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于,IDS是一種積極主動的安全防護(hù)技術(shù)。

3:會話日志功能

防火墻都有“會話記錄”功能,每一個數(shù)據(jù)包在經(jīng)過防火墻之后,都可以在防火墻的會話表中查詢到歷史訪問記錄。

如果是外部主機(jī)訪問內(nèi)部呢?當(dāng)然,在你的內(nèi)部網(wǎng)絡(luò)遭受不安全以后,可以在防火墻上查到從外到內(nèi),到底是哪個IP地址非法闖入了。

三、防火墻在企業(yè)環(huán)境的應(yīng)用

1:互聯(lián)網(wǎng)出口設(shè)備

這估計(jì)是大家最能想到的一種用途吧。

因?yàn)镮nternet就是一個最典型的“外網(wǎng)”,當(dāng)企業(yè)網(wǎng)絡(luò)接入Internet的時候,為了保證內(nèi)部網(wǎng)絡(luò)不受來自外部的威脅侵害,就會在互聯(lián)網(wǎng)出口的位置部署防火墻。

2:分支機(jī)構(gòu)接骨干網(wǎng)作邊界設(shè)備

在電力行業(yè)、金融行業(yè)等大型跨地,跨省的企業(yè)時,為了企業(yè)中各個省級、地市級單位的內(nèi)部數(shù)據(jù)通信通常都會自建一張骨干網(wǎng)絡(luò)。

每個省級、地市級單位辦公網(wǎng)絡(luò)接入骨干網(wǎng)時,就可以在網(wǎng)絡(luò)接入點(diǎn)部署防火墻,進(jìn)一步提高每個單位的辦公網(wǎng)絡(luò)安全性。

3:數(shù)據(jù)中心內(nèi)保護(hù)服務(wù)器

數(shù)據(jù)中心(DataCenter)是為企業(yè)存放重要數(shù)據(jù)資料的,同時數(shù)據(jù)中心內(nèi)會放置各種各樣功能不一的服務(wù)器。

想要保證數(shù)據(jù)的安全,首先就要保證這些服務(wù)器的安全。物理上的安全嘛,你就防火防水防賊唄,應(yīng)用上的安全,找殺毒軟件嘛;但是在網(wǎng)絡(luò)上防止,防止非授權(quán)人員操作服務(wù)器,就需要到防火墻來發(fā)揮作用了。

一般在傳統(tǒng)的數(shù)據(jù)中心內(nèi),會根據(jù)不同的功能來決定服務(wù)器的分區(qū),然后在每個分區(qū)和核心設(shè)備的連接處部署防火墻。

四、防火墻并不普適

不是任何場合都適合部署防火墻。

誰都知道安全性和方便性有時候會有那么一些沖突。防火墻作為一種網(wǎng)絡(luò)安全設(shè)備,部署在網(wǎng)絡(luò)中會對穿過防火墻的數(shù)據(jù)包進(jìn)行攔截,然后確定它符合策略要求以后才會放行。這會對網(wǎng)絡(luò)傳輸效率造成一定影響。

所以防火墻一般用于數(shù)據(jù)中心,大型企業(yè)總部,國有企業(yè)省級、地區(qū)級辦公機(jī)構(gòu),帶有服務(wù)器區(qū)域的網(wǎng)絡(luò)環(huán)境或機(jī)密性較高的單位。

五、防火墻的分類

防火墻按照功能和級別的不同,一般分類這么三類:包過濾型防火墻、狀態(tài)檢測型防火墻、代理型防火墻。

1:包過濾型防火墻

這種防火墻只能實(shí)現(xiàn)最基礎(chǔ)的包過濾功能,按照既定的訪問控制列表對數(shù)據(jù)包的三、四層信息進(jìn)行控制,詳細(xì)一點(diǎn)就是:

三層信息:源IP地址,目標(biāo)IP地址

四層信息:源端口,目標(biāo)端口

這種情況其實(shí)用一個路由器或者三層交換機(jī),配置ACL就能實(shí)現(xiàn)。

只有符合了條件的數(shù)據(jù)包才能被放行,不符合條件的數(shù)據(jù)包無論如何都不會被放行。但是包過濾型防火墻的性質(zhì)就是那么“教條”與“頑固不化”!

2:狀態(tài)檢測型防火墻

狀態(tài)檢測型防火墻就是為了解決“傻~”的包過濾型防火墻而存在的。它比包過濾型防火墻還多了一層“狀態(tài)檢測”功能。

狀態(tài)化檢測型防火墻可以識別出主動流量和被動流量,如果主動流量是被允許的,那么被動流量也是被允許的。

例如TCP的三次握手中,第一次流量是主動流量,從內(nèi)到外,第二次流量就是從外到內(nèi)的被動流量,這可以被狀態(tài)監(jiān)測型防火墻識別出并且放行。

狀態(tài)監(jiān)測型防火墻會有一張“連接表”,里面記錄合法流量的信息。當(dāng)被動流量彈回時,防火墻就會檢查“連接表”,只要在“連接表”中查到匹配的記錄,就會放行這個流量。

第一次握手,內(nèi)部主機(jī)10.112.100.101使用隨機(jī)端口10025訪問外部的WebServer

200.100.1.2的TCP 80

三層信息

源IP地址:10.112.100.101 目標(biāo)IP地址:200.100.1.2源端口:TCP 10025 目標(biāo)端口:TCP 80

由于內(nèi)部接口放行所有流量,所以這個第一次握手的流量被放行了

但此時,防火墻在連接表中生成了如下內(nèi)容:

第二次握手時,是外部主機(jī)被動彈回的流量

源地址(外部):200.100.1.2 源端口(外部):TCP 80

目標(biāo)地址(內(nèi)部):10.112.100.101 目標(biāo)端口(內(nèi)部):TCP 10025

此時,防火墻會暫時攔截流量,然后檢查連接表,看看內(nèi)部主機(jī)的IP和端口,外部主機(jī)的IP和端口是否與連接表中記錄的相同,如果相同,它就會放行這個流量。

如果是外部主動發(fā)起的流量,而防火墻又沒有允許它訪問內(nèi)部,由于是外部主動發(fā)起的流量,所以防火墻的連接表里沒有相應(yīng)的信息,這就會遭到防火墻的拒絕。

從而達(dá)到既保證了內(nèi)部到外部的正常通信,又使得內(nèi)部主機(jī)不受到外部的侵犯,這就是狀態(tài)檢測型防火墻的魅力所在。

目前主流的硬件防火墻幾乎都支持狀態(tài)監(jiān)測功能。

3:代理型防火墻

代理型防火墻一般是一個安裝在多網(wǎng)卡服務(wù)器上的軟件,擁有狀態(tài)監(jiān)測的功能,但是多了一項(xiàng)功能就是代理服務(wù)器功能。一般有正向代理和反向代理兩種功能:

正向代理用于內(nèi)部主機(jī)訪問Internet服務(wù)器的時候,特別是Web服務(wù)的時候很管用。當(dāng)內(nèi)部主機(jī)第一次訪問外部的Web服務(wù)器時,代理服務(wù)器會將訪問后的內(nèi)容放在自己的“高速緩存”中。

當(dāng)內(nèi)部主機(jī)再次訪問該Web服務(wù)器的時候,如果有相同的內(nèi)容,代理服務(wù)器就會將這個訪問定位到自己的高速緩存,從而提升內(nèi)部主機(jī)的訪問速度。

反向代理和正向代理有點(diǎn)類似,只不過訪問的方向是外部到內(nèi)部。

當(dāng)外部主機(jī)要訪問內(nèi)部發(fā)布的某個服務(wù)器的時候,不會讓它把訪問目標(biāo)定位到內(nèi)部服務(wù)器上,而是反向代理設(shè)備上。

反向代理設(shè)備會從真實(shí)的服務(wù)器上抽取數(shù)據(jù)到自己的緩存中,起到保護(hù)真實(shí)服務(wù)器的功能。


電腦防火墻基礎(chǔ)知識相關(guān)文章:

防火墻的基礎(chǔ)知識大全有哪些

電腦系統(tǒng)安全基礎(chǔ)知識大全有哪些

【電腦知識】:防火墻的工作技術(shù)分類與基礎(chǔ)原理是什么?

系統(tǒng)安全基礎(chǔ)知識大全有哪些

電腦安全設(shè)置及防護(hù)

【網(wǎng)絡(luò)安全】:網(wǎng)絡(luò)安全基礎(chǔ)知識點(diǎn)匯總

工作必備計(jì)算機(jī)技巧知識有哪些

Win10系統(tǒng)的基礎(chǔ)知識大全有哪些

電腦基礎(chǔ)常識和必備技巧大全有什么

網(wǎng)絡(luò)系統(tǒng)基礎(chǔ)知識入門

737603