0x00 前言
最近由於工作原因,需要詳細如今各類網絡安全設備,所以開了此系列文章,希望通過對每個網絡安全設備進行整理總結,來詳細了解各類網絡安全設備作用功能以及實現原理、部署配置方法等。
0x01 定義:防火牆指的是一個有軟件和硬件設備組合而成、在內部網和外部網之間、專用網與公共網之間的界面上構造的保護屏障。它可通過監測、限制、更改跨越防火牆的數據流,盡可能地對外部屏蔽網絡內部的信息、結構和運行狀況,以此來實現網絡的安全保護。
0x02 主要功能 :
1、過濾進、出網絡的數據
2、防止不安全的協議和服務
3、管理進、出網絡的訪問行為
4、記錄通過防火牆的信息內容
5、對網絡攻擊進行檢測與警告
6、防止外部對內部網絡信息的獲取
7、提供與外部連接的集中管理
0x03 主要類型 :
1、網絡層防火牆 一般是基於源地址和目的地址、應用、協議以及每個IP包的端口來作出通過與否的判斷。防火牆檢查每一條規則直至發現包中的信息與某規則相符。如果沒有一條規則能符合,防火牆就會使用默認規則,一般情況下,默認規則就是要求防火牆丟棄該包,其次,通過定義基於TCP或UDP數據包的端口號,防火牆能夠判斷是否允許建立特定的連接,如Telnet、FTP連接。
2、應用層防火牆 針對特別的網絡應用服務協議即數據過濾協議,並且能夠對數據包分析並形成相關的報告。
(author https://www.cnblogs.com/Shepherdzhao/)
0x04 主動被動:
傳統防火牆是主動安全的概念; 因為默認情況下是關閉所有的訪問,然后再 通過定制策略去開放允許開放的訪問。
0x05 下一代防火牆(NGFW)
主要是一款全面應對應用層威脅的高性能防火牆。可以做到智能化主動防御、
應用層數據防泄漏、應用層洞察與控制、威脅防護等特性。 下一代防火牆在一台設備里面集成了傳統防火牆、IPS、應用識別、內容過濾等功能既降低了整體網絡安全系統的采購投入,又減去了多台設備接入網絡帶來的部署成本,還
通過應用識別和用戶管理等技術降低了管理人員的維護和管理成本。
0x06 使用方式 :
防火牆部署於單位或企業內部網絡的出口位置。
0x07 局限性:
1、 不能防止源於內部的攻擊,不提供對內部的保護
2、 不能防病毒
3、 不能根據網絡被惡意使用和攻擊的情況動態調整自己的策略
4、 本身的防攻擊能力不夠,容易成為被攻擊的首要目標