五個安全域:
報文從低級別的安全區域向高級別的安全區域流動時為入方向(Inbound),報文從由高級別的安全區域向低級別的安全區域流動時為出方向(Outbound)。
untrust(不信任域):
低級安全區域,安全優先級為5
通常用來定義Internet等不安全的網絡,用於網絡入口線的接入。
dmz(隔離區):
中級安全區域,安全優先級為50
通常用來定義內部服務器所在網絡
作用是把WEB,E-mail,等允許外部訪問的服務器單獨接在該區端口,使整個需要保護的內部網絡接在信任區端口后,不允許任何訪問,實現內外網分離,達到用戶需求。DMZ可以理解為一個不同於外網或內網的特殊網絡區域,DMZ內通常放置一些不含機密信息的公用服務器,比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在內網中的公司機密或私人信息等,即使DMZ中服務器受到破壞,也不會對內網中的機密信息造成影響。
trust(信任域):
高級級安全區域,安全優先級為85
通常用來定義內部用戶所在的網絡,也可以理解為應該是防護最嚴密的地區。
local(本地):
頂級安全區域,安全優先級為100
local就是防火牆本身的區域,比如ping指令等網際控制協議的回復,需要local域的權限
凡是由防火牆主動發出的報文均可認為是從Local區域中發出
凡是需要防火牆響應並處理(而不是轉發)的報文均可認為是由Local區域接收
management(管理):
頂級安全區域,安全優先級為100
除了console控制接口對設備進行配置,如果防火牆設備可以通過web界面配置的話,需要一根雙絞線連接到管理接口,鍵入用戶名和密碼進行配置。
三種工作模式
無非就是防火牆各接口是路由模式還是交換模式的差別,三張圖明明白白。
交換模式(二層模式):
路由模式(三層模式):
混合模式:
IDS:
(Intrusion Detection Systems)入侵檢測系統。專業上講就是依照一定的安全策略,對網絡、系統的運行狀況進行監視,盡可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網絡系統資源的機密性、完整性和可用性。很多情況下安全產品與安全產品之間、安全產品與 網絡中的其他部件之間需要通力協作,保證相關的攻擊在源頭就被發現和阻斷,從 而更加有效的保護整個網絡的安全。這種通力合作就叫做聯動。
轉載:https://blog.csdn.net/qq_42196196/article/details/83018737