防火墙基础知识与配置
Eudemon_系列防火墙基础知识
击。硬件防火墙应该可以支持若干个网络接口,这些接口都是LAN接口(如 Ethernet、Token Ring、FDDI),这些接口用来连接几个网络。在这些网络 中进行的连接都必须经过硬件防火墙,防火墙来控制这些连接,对连接进行验 证、过滤。
由于创建了一个临时规则,因此访问可以通过 SYN
192.168.0.1:22787(打开数据通道)
FTP Client 192.168.0.1
状态检测防火墙
FTP 主动模式
FTP Server 19.49.10.10
在状态防火墙中对于多通道协议(例如FTP)还需要深入检测该协议的 控制通道信息,并根据该信息动态创建ASPF的servmap表项保证多通道 协议应用的正常
IP 报头
TCP/UDP 报头
数据
协议号 源地址 目的地址
源端口 目的端口
访问控制列表由这5个元 素来组成定义的规则
包过滤技术介绍
对路由器需要转发的数据包,先获取包头信息,然后和设定的 规则进行比较,根据比较的结果对数据包进行转发或者丢弃。
实现包过滤的核心技术是访问控制列表ACL。
内部网络
R
从192.110.10.0/24 来的数据包能通过
防火墙基本概念——安全区域(Zone)
域(Zone)
域是防火墙上引入的一个重要的逻辑概念;通过将接口加入域并在安全区域之间启动安 全检查(称为安全策略),从而对流经不同安全区域的信息流进行安全过滤。常用的安全 检查主要包括基于ACL和应用层状态的检查
计算机网络安全基础_第08章_防火墙技术
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
1.试验网络
在大多数情况下,应该在内部防火墙中设置这样的
网络,并给每个试验网络配置一台路由器并连接到参数
网络。而主要的包过滤工作在连接参数网络与内部主网
的路由器上完成。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
2.低保密网络 试验网络比较危险,但它对整个内部网的安全构成
的威胁还不是最大的。而许多内部网组织结构里面的资 源本身就固有一些非安全因素。比如,校园网中那些包 含学生公寓网点的部分就被认为是不安全的,单位企业 网中的那些演示网部分、客户培训网部分和开放实验室 网部分都被认为是安全性比较差的。但这些网又比纯粹 的外部网与内部网其它部分的交互要多得多。这些网络 称为低保密网。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
内部网需要防范的三种攻击有: 间谍:试图偷走敏感信息的黑客、入侵者和闯入者。 盗窃:盗窃对象包括数据、Web表格、磁盘空间和CPU 资源等。 破坏系统:通过路由器或主机/服务器蓄意破坏文件系 统或阻止授权用户访问内部网 (外部网)和服务器。
2019年8月26日3时16分
计算机网络安全基础
8.1 防火墙基本概念
8.1.6 内部防火墙
但有时为了某些原因,我们还需要对内部网的部分 站点再加以保护以免受其它站点的侵袭。因此,有时我 们需要在同一结构的两个部分之间,或者在同一内部网 的两个不同组织结构之间再建立防火墙(也被称为内部 防火墙)。
电脑防火墙基础知识
电脑防火墙基础知识所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.下面就让小编带你去看看电脑防火墙基础知识,希望能帮助到大家!电脑小知识:计算机防火墙到底是什么?能不能阻止黑客的入侵?在网络中,所谓“防火墙”,是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种隔离技术。
防火墙是在两个网络通讯时执行的一种访问控制尺度,它能允许你“同意”的人和数据进入你的网络,同时将你“不同意”的人和数据拒之门外,最大限度地阻止网络中的黑客来访问你的网络。
换句话说,如果不通过防火墙,公司内部的人就无法访问Internet,Internet上的人也无法和公司内部的人进行通信。
作用防火墙具有很好的保护作用。
入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。
你可以将防火墙配置成许多不同保护级别。
高级别的保护可能会禁止一些服务,如视频流等,但至少这是你自己的保护选择。
从类型上来说我们主要是分为两种网络层防火墙网络层防火墙[3]可视为一种IP 封包过滤器(允许或拒绝封包资料通过的软硬结合装置),运作在底层的TCP/IP 协议堆栈上。
我们可以以枚举的方式,只允许符合特定规则的封包通过,其余的一概禁止穿越防火墙(病毒除外,防火墙不能防止病毒侵入)。
这些规则通常可以经由管理员定义或修改,不过某些防火墙设备可能只能套用内置的规则。
我们也能以另一种较宽松的角度来制定防火墙规则,只要封包不符合任何一项“否定规则”就予以放行。
现在的操作系统及网络设备大多已内置防火墙功能。
较新的防火墙能利用封包的多样属性来进行过滤,例如:来源IP 地址、来源端口号、目的 IP 地址或端口号、服务类型(如 WWW 或是FTP)。
也能经由通信协议、TTL 值、来源的网域名称或网段...等属性来进行过滤。
应用层防火墙应用层防火墙是在 TCP/IP 堆栈的“应用层”上运作,您使用浏览器时所产生的数据流或是使用FTP 时的数据流都是属于这一层。
QCCP-PS-NGFW-01-防火墙基础知识
下一代防火墙(NGFW)第一章防火墙基础知识概要本章节主要学习防火墙基础知识,学习防火墙发展历史,理解防火墙的核心功能,以及安全域的基本理论。
学习内容⏹了解防火墙产生原因⏹理解防火墙定义⏹了解防火墙的发展历史⏹了解防火墙的主要性能⏹理解防火墙的两个核心功能⏹掌握安全域的基本概念⏹理解下一代防火墙产品架构的特点CONTENTS ⏹防火墙概述⏹防火墙的前世今生⏹安全域和边界防御思想⏹防火墙产品标准⏹下一代防火墙产品架构(1)持续演进的网络安全问题?(2)如何对网络边界进行防护?防火墙产生的原因恶意木马程序计算机病毒网络安全威胁威胁网络边界防护外部外边界外部边界内部边界防火墙(Firewall)是设置在不同网络(如可信任的企业内部网和不可信的公共网)或网络安全域之间的一系列部件的组合。
GB/T 20281—2015《信息安全技术防火墙安全技术要求和测试评价方法》中对防火墙定义为,部署于不同安全域之间,具备网络层访问控制及过滤功能,并具备应用层协议分析、控制及内容检测等功能,能够适用于IPv4、IPv6等不同的网络环境的安全网关产品。
两个安全域之间通信流的唯一通道安全域1Host AHost B安全域2Host CHost DUDPBlockHost CHost BTCP Pass Host C Host A Destination Protocol Permit Source 根据访问控制规则决定进出网络的行为(1)“隔离”:在不同信任级别的网络之间砌“墙”;(2)“访问控制”:在墙上开“门”并派驻守卫,按照安全策略来进行检查和放通。
DMZ研发部销售部市场部数据中心移动办公用户分支机构分支机构一个典型的企业网防火墙部署位置功能点描述基础组网和防护功能防火墙可以限制非法用户进入内部网络,比如黑客、网络破坏者等,禁止存在安全脆弱性的服务和未授权的通信数据包进出网络,并对抗各种攻击。
记录监控网络存取与访问防火墙可以收集关于系统和网络使用和误用的信息并做出日志记录。
防火墙基础知识大全科普
防火墙基础知识大全科普所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法,下面就让小编带你去看看防火墙基础知识大全科普,希望对你有所帮助吧防火墙有哪些分类?不同防火墙有什么特点?正规的数据中心中,防火墙是必不可少的,要了解防火墙我们先要知道什么是防火墙,以及它的工作原理。
什么是防火墙?防火墙是监视网络流量的安全设备。
它通过根据一组既定规则过滤传入和传出的流量来保护内部网络。
设置防火墙是在系统和恶意攻击之间添加安全层的最简单方法。
防火墙如何工作?防火墙放置在系统的硬件或软件级别,以保护其免受恶意流量的攻击。
根据设置,它可以保护单台计算机或整个计算机网络。
设备根据预定义规则检查传入和传出流量。
通过从发送方请求数据并将其传输到接收方来进行Internet上的通信。
由于无法整体发送数据,因此将其分解为组成初始传输实体的可管理数据包。
防火墙的作用是检查往返主机的数据包。
不同类型的防火墙具有不同的功能,我们专注于服务器租用/托管14年,接下来网盾小编来谈谈防火墙有哪些分类以及他们有哪些特点。
软件防火墙软件防火墙是寄生于操作平台上的,软件防火墙是通过软件去实现隔离内部网与外部网之间的一种保护屏障。
由于它连接到特定设备,因此必须利用其资源来工作。
所以,它不可避免地要耗尽系统的某些RAM和CPU。
并且如果有多个设备,则需要在每个设备上安装软件。
由于它需要与主机兼容,因此需要对每个主机进行单独的配置。
主要缺点是需要花费大量时间和知识在每个设备管理和管理防火墙。
另一方面,软件防火墙的优势在于,它们可以在过滤传入和传出流量的同时区分程序。
因此,他们可以拒绝访问一个程序,同时允许访问另一个程序。
硬件防火墙顾名思义,硬件防火墙是安全设备,代表放置在内部和外部网络(Internet)之间的单独硬件。
此类型也称为设备防火墙。
与软件防火墙不同,硬件防火墙具有其资源,并且不会占用主机设备的任何CPU或RAM。
防火墙配置和管理手册
防火墙配置和管理手册防火墙是保护计算机网络安全的重要工具之一。
它可以过滤网络流量,阻止恶意的入侵和攻击,从而提高网络的安全性。
本手册将介绍防火墙的配置和管理,帮助用户正确设置和维护防火墙,确保网络的安全性和可靠性。
一、防火墙基础知识1. 防火墙的作用和原理防火墙作为网络的守门员,通过筛选和控制网络流量来保护受保护网络。
其原理是根据预先设定的规则集,对进出网络的数据包进行检测和过滤。
2. 防火墙分类根据部署位置和功能特点,防火墙可以分为网络层防火墙、主机层防火墙和应用层防火墙等不同类型。
用户需根据实际需求选择适合的防火墙类型。
二、防火墙配置1. 硬件防火墙配置硬件防火墙通常是指专用设备,采用硬件芯片实现防火墙功能。
首先,根据网络拓扑结构,将硬件防火墙正确地部署在网络中。
其次,根据需求进行基本设置,包括网络接口配置、管理员密码设置和访问控制规则设置等。
2. 软件防火墙配置软件防火墙可以是在操作系统上安装的软件程序,也可以是基于虚拟化技术的虚拟防火墙。
在软件防火墙配置过程中,需要设置防火墙的工作模式、网络接口设置和访问控制规则等。
三、防火墙管理1. 安全策略管理防火墙安全策略是指针对不同类型的网络流量设置的规则集。
用户需进行安全策略的管理,包括规则的添加、修改和删除等操作。
合理设置安全策略可以提高防火墙的效率,并确保网络的正常运行。
2. 更新和升级由于网络威胁的不断演变,防火墙的规则库和软件版本需要经常更新和升级。
用户需定期检查更新,以确保防火墙具备最新的安全特性和功能。
3. 日志和审计防火墙的日志记录和审计功能对网络安全事件的追踪和分析至关重要。
用户需开启和配置防火墙的日志功能,并定期检查和分析日志,及时发现潜在的安全威胁。
四、防火墙最佳实践1. 最小权限原则根据实际需要,合理划分网络用户的权限,将最低权限原则应用于防火墙的访问控制策略中,最大限度地减少潜在的安全风险。
2. 及时备份和恢复定期备份防火墙的配置和日志文件,以便在系统崩溃或意外事件中能够快速恢复。
防火墙操作手册
防火墙操作手册防火墙操作手册提供了防火墙的基本配置和管理指南,以帮助用户保护网络安全和防止未经授权的访问。
以下是一些通用的防火墙操作手册步骤:1. 了解防火墙基础知识:防火墙是在计算机网络中起到保护网络安全的关键设备。
在进行防火墙的操作和配置之前,首先需要了解防火墙的基础概念、类型和工作原理。
2. 确定安全策略:为了保护网络安全,需要制定合适的安全策略。
安全策略定义了哪些网络流量是允许的,哪些是被阻止的。
这些策略可以基于端口、IP地址、协议等进行配置,并且应该针对网络中的不同角色(例如内部和外部网络)进行细分。
3. 发现并关闭未使用的端口:未使用的端口是网络攻击的潜在入口,应该通过关闭或屏蔽这些端口来减少风险。
4. 配置访问控制列表(ACL):ACL是一组定义哪些网络流量被允许或被阻止的规则。
可以根据需要创建ACL,并将其应用到特定的网络接口上。
5. 设置入站和出站规则:入站规则用于控制从外部网络进入内部网络的网络流量,而出站规则用于控制从内部网络进入外部网络的流量。
确保只有经过授权的流量能够通过防火墙。
6. 定期更新防火墙规则:随着网络的变化,防火墙规则也需要进行定期更新和优化。
监控网络流量,并相应地更新防火墙规则,同时也要定期审查并关闭不再需要的规则。
7. 进行日志和监控:启用防火墙的日志和监控功能,可以记录和监控网络流量,以便及时检测和应对潜在的网络攻击和安全事件。
8. 进行实时更新和维护:及时更新防火墙的软件和固件版本,以确保兼容性和安全性。
定期进行安全审核和漏洞扫描,以发现和修复潜在的安全漏洞。
以上是一般的防火墙操作手册步骤,具体的操作细节可能根据不同的防火墙品牌和型号有所不同。
因此,在实际进行防火墙操作之前,还应参考相应的产品手册和文档进行详细了解和指导。
防火墙的基本知识及应用
+(&*,(*& " 能 在 系 统 的 安 全 保 护 ( 高 效 性 能 和 灵 活 管
理之间提供最ห้องสมุดไป่ตู้的平衡是安全策略的核心问题 &
电脑知识与技术 !""!#$!
23
!"#$%
网络安全
图 / 所示 # 双宿堡垒主机通过两个网络接口进一步从物理 上将内部网络分为内部被保护网络和内部公用信息 网络 $ 使内部被保护网络具有更高的安全性 # 它是一种由应用层网关和两个包过滤路由器一 这也是比较常见的一种防火墙类型 ! 在上一章 中 已 经 有 过 交 代 "# 它 主 要 是 通 过 配 置 边 界 路 由 器 !具 有 包 过 滤 功 能 "的 访 问 控 制 表 来 实 现 $这 里 的 路 由器除了完成普通的路由功能外 $ 还通过包过滤功 能实现了基本的防火墙功能 # 包过滤路由器的特点是费用低 $ 易于使用 # 缺点 是很难实现较复杂的安全策略 # 因为这可能使访问 控制表过大 $ 导致路由器性能下降以至于无法忍受 # 因此这种防火墙一般适用于中小规模且安全性要求 不高的网络 # 这种防火墙系统由包过滤路由器和堡垒主机组 成 $ 在内部网络和外部网络之间建立了两道安全屏 障 $既 实 现 了 网 络 层 安 全 !包 过 滤 "又 实 现 了 应 用 层 安全 ! 代理服务器 "$ 如图 ! 所示 # 面& 屏蔽子网防火墙系统的安全配置主要分三个方 起组成的安全性很高的防火墙安全系统 $ 如图 0 所 示 $ 屏蔽子网防火墙系统 #
经济费用 选择什么样的防火墙还要看机构的承受能力" 路由器中内置的包过滤功能到几千上万美元的专业 防火墙产品价格都不相同 " 体现在实现的功能 ( 系统 的复杂程度以至能保护的主机数量 也 千 差 万 别 "另 外 防 火 墙 系 统 的 管 理 (维 护 (故 障 处 理 都 需 要 费 用 & 机构要根据自己的实际情况 " 选择合适的防火墙 & 防火墙系统的组成 " 应用实例 # 典型的防火墙由以下一个或多个构件组成 # ! 包过滤路由器 ! 应用层网关 $ 或代理服务器 % ! 电路层网关 下面将举几个例子说明如何利用这些构件构筑
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
防火墙技术是安全技术中的一个具体体现。
防火墙原本是指房屋之间修建的一道墙,用以防止火灾发生时的火势蔓延。
我们这里讨论的是硬件防火墙,它是将各种安全技术融合在一起,采用专用的硬件结构,选用高速的CPU、嵌入式的操作系统,支持各种高速接口(LAN接口),用来保护私有网络(计算机)的安全,这样的设备我们称为硬件防火墙。
硬件防火墙可以独立于操作系统(HP-UNIX、SUN OS、AIX、NT等)、计算机设备(IBM6000、普通PC等)运行。
它用来集中解决网络安全问题,可以适合各种场合,同时能够提供高效率的“过滤”。
同时它可以提供包括访问控制、身份验证、数据加密、VPN技术、地址转换等安全特性,用户可以根据自己的网络环境的需要配置复杂的安全策略,阻止一些非法的访问,保护自己的网络安全。
现代的防火墙体系不应该只是一个“入口的屏障”,防火墙应该是几个网络的接入控制点,所有进出被防火墙保护的网络的数据流都应该首先经过防火墙,形成一个信息进出的关口,因此防火墙不但可以保护内部网络在Internet中的安全,同时可以保护若干主机在一个内部网络中的安全。
在每一个被防火墙分割的网络内部中,所有的计算机之间是被认为“可信任的”,它们之间的通信不受防火墙的干涉。
而在各个被防火墙分割的网络之间,必须按照防火墙规定的“策略”进行访问。
防火墙发展至今已经历经三代,分类方法也各式各样,例如按照形态划分可以分为硬件防火墙及软件防火墙;按照保护对象划分可以分为单机防火墙及网络防火墙等。
但总的来说,最主流的划分方法是按照处理方式进行分类。
防火墙按照处理方式可以分为以下三类:包过滤防火墙包过滤是指在网络层对每一个数据包进行检查,根据配置的安全策略转发或丢弃数据包。
包过滤防火墙的基本原理是:通过配置访问控制列表(ACL, Access Control List)实施数据包的过滤。
主要基于数据包中的源/目的IP地址、源/目的端口号、IP 标识和报文传递的方向等信息。
包过滤防火墙的设计简单,非常易于实现,而且价格便宜。
包过滤防火墙的缺点主要表现以下几点:1. 随着ACL 复杂度和长度的增加,其过滤性能呈指数下降趋势。
2. 静态的ACL 规则难以适应动态的安全要求。
3. 包过滤不检查会话状态也不分析数据,这很容易让黑客蒙混过关。
例如,攻击者可以使用假冒地址进行欺骗,通过把自己主机IP地址设成一个合法主机IP地址,就能很轻易地通过报文过滤器。
代理防火墙代理服务作用于网络的应用层,其实质是把内部网络和外部网络用户之间直接进行的业务由代理接管。
代理检查来自用户的请求,用户通过安全策略检查后,该防火墙将代表外部用户与真正的服务器建立连接,转发外部用户请求,并将真正服务器返回的响应回送给外部用户。
代理防火墙能够完全控制网络信息的交换,控制会话过程,具有较高的安全性。
其缺点主要表现在:1. 软件实现限制了处理速度,易于遭受拒绝服务攻击。
2. 需要针对每一种协议开发应用层代理,开发周期长,而且升级很困难。
状态检测防火墙状态检测是包过滤技术的扩展。
基于连接状态的包过滤在进行数据包的检查时,将每个数据包看成是独立单元,并且还要考虑前后报文的历史关联性。
我们知道,所有基于可靠连接的数据流(即基于TCP协议的数据流)的建立都需要经过“客户端同步请求”、“服务器应答”以及“客户端再应答”三个过程(即“三次握手”过程),这说明每个数据包都不是独立存在的,而是前后有着密切的状态联系的。
基于这种状态联系,从而发展出状态检测技术。
基本原理简述如下:1. 状态检测防火墙使用各种会话表来追踪激活的TCP(Transmission Control Protocol)会话和UDP(User Datagram Protocol)伪会话,由访问控制列表决定建立哪些会话,数据包只有与会话相关联时才会被转发。
其中UDP伪会话是在处理UDP协议包时为该UDP数据流建立虚拟连接(UDP是面对无连接的协议),以对UDP 连接过程进行状态监控的会话。
2. 状态检测防火墙在网络层截获数据包,然后从各应用层提取出安全策略所需要的状态信息,并保存到会话表中,通过分析这些会话表和与该数据包有关的后续连接请求来做出恰当决定。
状态检测防火墙具有以下优点:后续数据包处理性能优异状态检测防火墙对数据包进行ACL 检查的同时,可以将数据流连接状态记录下来,对该数据流中的后续包则无需再进行ACL检查,只需根据会话表对新收到的报文进行连接记录检查即可。
检查通过后,该连接状态记录将被刷新,从而避免重复检查具有相同连接状态的数据包。
连接会话表里的记录可以随意排列,与记录固定排列的ACL 不同,于是状态检测防火墙可采用诸如二叉树或哈希(Hash)等算法进行快速搜索,提高了系统的传输效率。
安全性较高连接状态清单是动态管理的。
会话完成后防火墙上所创建的临时返回报文入口随即关闭,保障了内部网络的实时安全。
同时,状态检测防火墙采用实时连接状态监控技术,通过在会话表中识别诸如应答响应等连接状态因素,增强了系统的安全性。
安全区域(Zone)是防火墙所引入的一个在安全领域方面的概念,是防火墙区别于路由器的主要特征。
安全区域是一个或多个接口的组合,不同安全区域具有互不相同的安全级别。
对于路由器,各个接口所连接的网络在安全上可以视为是平等的,没有明显的内外之分,所以即使进行一定程度的安全检查,也是在接口上完成的。
一个数据流单方向通过路由器时有可能需要进行两次安全策略的检查:入接口的安全检查和出接口的安全检查,以便使其符合每个接口上独立的安全定义。
而这种思路对于防火墙来说显然不适合,因为防火墙放置于内部网络和外部网络之间,可以保护内部网络不受外部网络上恶意用户的侵害,有着明确的内外之分。
当一个数据流通过防火墙的时候,根据其发起方向的不同,所引起的操作是截然不同的。
由于这种安全级别上的差别,采用在接口上检查安全策略的方式已经不适用,将造成用户在配置上的混乱。
因此,防火墙提出了安全区域的概念。
一个安全区域包括一个或多个接口的组合,具有一个安全级别。
安全区域有如下特点:1. 安全级别用1~100的数值表示,数值越大表示安全级别越高。
2. 不存在两个具有相同安全级别的安全区域。
幻灯片 11只有当数据在分属于两个不同安全级别的区域(或区域包含的接口)之间流动的时候,才会激活防火墙的安全策略检查功能。
数据在属于同一个安全区域的不同接口间流动时不会触发安全策略检查。
业界很多防火墙一般都提供受信安全区域(trust)、非受信安全区域(untrust)、非军事化区域(DMZ)三个独立的安全区域,这样的保护模型可以适应大部分的组网要求。
其中DMZ 这一术语起源于军方,指的是介于严格的军事管制区和松散的公共区域之间的一种有着部分管制的区域。
防火墙引用了这一术语,指代一个逻辑上和物理上都与内部网络和外部网络分离的区域。
该区域可以放置需要对外提供网络服务的设备,如WWW Server、FTP Server 等。
DMZ 区域很好地解决了服务器的放置问题。
上述服务器如果放置于外部网络,则防火墙无法保障它们的安全;如果放置于内部网络,外部恶意用户则有可能利用某些服务的安全漏洞攻击内部网络。
华为赛门铁克防火墙缺省提供四个安全区域:local(优先级为100)、trust(优先级为85)、DMZ(优先级为50)、untrust(优先级为5),在提供三个最常用的安全逻辑区域的基础上还新增加了本地逻辑安全区域(local),本地安全区域可以定义到防火墙本身的报文,保证了防火墙本身的安全防护,使得对防火墙本身的安全保护得到加强。
例如,通过对本地安全区域的报文控制,可以很容易的防止不安全区域对防火墙本身的Telnet、ftp等访问。
在一些安全策略要求较高的场合,这样的保护模型可能还是不能满足要求,因此华为赛门铁克防火墙还提供自定义安全区域,可以最大定义12个自定义安全区域,每个安全区域都可以加入独立的接口。
接口、网络与安全区域的关系接口与安全区域的关系一个安全区域可以包括一个或多个接口,具有一个安全级别。
除Local区域外,使用其他安全区域前,都需要将安全区域分别与防火墙的特定接口关联,即将接口加入安全区域,这代表接口所连接的网络属于指定的安全区域。
另外,Local 区域不能添加任何接口,但防火墙接口本身都属于Local区域。
网络与安全区域的关系安全区域与各网络的关联遵循如下原则:1. 需要保护的网络应安排在安全级别较高的区域,如Trust区域。
2. 外部网络应安排在安全级别较低的区域,如Untrust区域。
3. 对外提供有条件服务的网络应安排在中等安全级别的区域,如DMZ区域。
安全区域之间的方向两个安全区域之间(简称安全域间)的数据流分两个方向:入方向(Inbound)以及出方向(Outbound)。
入方向是指数据由低安全级别的安全区域向高安全级别的安全区域传输的方向。
反之,出方向是指数据由高安全级别的安全区域向低安全级别的安全区域传输的方向。
不同安全级别的安全区域间的数据流动都将触发防火墙进行安全策略的检查。
如果事先为同一安全域间的不同方向设置不同的安全策略,当有数据流在此安全域间的两个不同方向上流动时,将触发不同的安全策略检查。
幻灯片 12ASPF是一种高级通信过滤技术,它检查应用层协议信息并且监控基于连接的应用层协议状态。
支持该技术的高级防火墙依靠这种基于报文内容的访问控制,能够对应用层的一部分攻击加以检测和防范,包括对于FTP命令字、SMTP命令的检测、HTTP的Java、ActiveX控件等的检测及过滤。
另外,ASPF技术还可以解决多通道协议引起的过滤问题。
多通道协议是指某个应用在进行通讯或提供服务时需要建立两个以上的会话(通道),其中有一个控制通道,其他的通道是根据控制通道中双方协商的信息动态创建的,一般我们称之为数据通道或子通道;多通道协议在防火墙应用以及NAT设备的应用中需要特殊处理,因为数据通道的端口是不固定的(协商出来的)其报文方向也是不固定的。
这种典型应用有很多,最典型的是ftp,其他的一般都是跟音频和视频通讯相关的协议,如:H.323(包括T.120、RAS、Q.931和H.245等)、SIP、MGCP等,此外许多实时聊天通讯软件也是多通道协议的,如MSN,QQ等。
在普通的场合,一般使用的是基于ACL的IP包过滤技术,这种技术比较简单,但缺乏一定的灵活性,在很多复杂应用的场合普通包过滤是无法完成对网络的安全保护的。
例如对于类似于应用FTP协议进行通信的多通道协议来说,配置防火墙则是非常困难的。
FTP包含一个预知端口的TCP控制通道和一个动态协商的TCP数据通道,对于一般的包过滤防火墙来说,配置安全策略时无法预知数据通道的端口号,因此无法确定数据通道的入口,这样就无法配置准确的安全策略。