【从零开始学习计算机科学】信息安全(八)防火墙

ops/2025/3/18 13:09:22/

【从零开始学习计算机科学】信息安全(八)防火墙

防火墙

防火墙概述

防火墙是一种在两个信任程度不同的网络之间设置的、用于加强访问控制的软硬件保护设施。防火墙是在两个网络之间执行访问控制安全策略的系统,它可以是软件,也可以是硬件,或两者并用。

防火墙作为“控制点”,限制信息的进入或离开;防火墙可以防止侵入者接近并破坏内部网络资源;防火墙可用于监视、记录、审查重要的业务流;防火墙可实施网络地址转换NAT,缓解地址短缺矛盾。防火墙只允许已授权的业务流通过,而且本身也应抵抗渗透攻击。建立防火墙必须全面考虑安全策略,否则形同虚设。

防火墙设计原则

防火墙系统应遵循的三大原则如下所示:

  1. 所有进出网络的通信流都应该通过防火墙
  2. 所有穿过防火墙的通信流都必须有安全策略和计划的确认和授权。
  3. 理论上说,防火墙是穿不透的。

防火墙的优点

  • 保护脆弱和有缺陷的网络服务。通过过滤不安全的服务来降低内部网络系统的风险。
  • 加强对网络系统的访问控制。屏蔽特定的主机、服务访问。
  • 集中化的安全管理。防火墙功能作用于内网的每台主机上。
  • 加强隐私保护。防火墙可隐蔽那些透漏内部细节的服务。如DNS服务。
  • 有关网络使用、滥用的记录和统计。

防火墙的不足

  • 防火墙防外不防内。
  • 不能防范绕过防火墙的攻击。
  • 防火墙配置复杂,容易出现安全漏洞。
  • 防火墙往往只认机器(IP地址)不认人(用户身份),控制粒度较粗。
  • 防火墙不能防范病毒。
  • 防火墙不能防止数据驱动式攻击。
  • 不能防备新的网络安全问题。防火墙是一种被动式防护手段,只能对现在已知的网络威胁起作用。因此,通常与IDS设备联动。

防火墙类别

防火墙技术可根据防范方式、侧重点的不同而分为很多种类型,但总体来讲可分为三大类(以技术来分):

  1. 包过滤技术。作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。
  2. 应用代理。也叫应用网关(Application Gateway),它作用在应用层,其特点是完全“阻隔”了网络通信流,通过对每种应用服务编制专门的代理程序,实现监视和控制应用层通信流的作用。
  3. 电路中继(Circuit Relay)。也叫电路网关(Circuit Gateway)或TCP代理(TCP-Proxy),其工作原理与应用代理类似,不同之处是该代理程序是专门为传输层的TCP协议编制的。

防火墙技术

包过滤技术

数据包过滤技术,顾名思义是在网络中适当的位置对数据包实施有选择的通过。选择依据即为系统内设置的过滤规则(通常称为访问控制表Access Control List),只有满足过滤规则的数据包才被转发至相应的网络接口,其余数据包则被从数据流中删除。数据包过滤可以控制站点与站点、站点与网络网络网络之间的相互访问,但不能控制传输的数据内容。

包过滤检查模块深入到系统的网络层和数据链路层之间。因为数据链路层是事实上的网卡(NIC),网络层是第一层协议堆栈,所以防火墙位于软件层次的最底层。

在这里插入图片描述

包检查模块能检查包中的所有信息,一般是网络层的IP头和传输层的头。主要检查下面几项:

  • IP源地址;
  • IP目标地址;
  • 协议类型(TCP包、UDP包和ICMP包)
  • TCP或UDP的源端口;
  • TCP或UDP的目标端口;
  • ICMP消息类型;
  • TCP报头中的ACK位。

其工作流程主要为:

  1. 拦截检查所有出/入站报文。
  2. 验证这个包是否符合过滤规则。
  3. 记录验证情况,不符合规则的包要

http://www.ppmy.cn/ops/166772.html

相关文章

Chat2DB:让数据库管理像聊天一样简单

数据库工具的痛点与破局 在数据爆炸的时代,数据库管理工具已成为企业高效运营的刚需。然而,传统工具如Navicat、DBeaver虽功能强大,却让非技术人员和SQL新手望而却步。复杂的界面、繁琐的手动操作、晦涩的语法规则,成为横亘在数据…

LeeCode题库第2379题

2379.得到K个黑块的最小涂色次数 项目场景: 给你一个长度为 n 下标从 0 开始的字符串 blocks ,blocks[i] 要么是 W 要么是 B ,表示第 i 块的颜色。字符 W 和 B 分别表示白色和黑色。 给你一个整数 k ,表示想要 连续 黑色块的数…

ES6(1) 简介与基础概念

1. ES6 简介 ES6(ECMAScript 6)是 JavaScript 的一个重要版本,它在 ES5 的基础上进行了扩展和优化。ES6 主要应用于现代 Web 开发,提高了 JavaScript 的编程效率和可读性。 2. ES6 与 JavaScript 的关系 JavaScript 是一种基于 E…

再学:abi编码 地址类型与底层调用

目录 1.内置全局变量及函数 2.abi 3.地址类型 4.transfer 1.内置全局变量及函数 2.abi data就是abi编码 abi描述:以json格式表明有什么方法 3.地址类型 4.transfer x.transfer:合约转给x call 和 delegatecall 是 Solidity 中用于底层合约调用的函数&#xff0…

CSS 属性选择器详解

CSS 属性选择器详解 引言 CSS(层叠样式表)是网页设计中的重要组成部分,它用于控制网页元素的样式和布局。属性选择器是CSS选择器的一种,它允许开发者根据元素的特定属性来选择和样式化元素。本文将详细讲解CSS属性选择器的概念、语法以及常用属性选择器的使用方法。 一、…

玩转python:Python数据结构之并查集

并查集(Disjoint Set Union,DSU)是一种用于管理不相交集合的数据结构,支持高效的**合并(Union)和查找(Find)**操作。它的核心思想是通过路径压缩和按秩合并优化性能,广泛…

5G时代新基建:边缘节点如何将云计算响应速度提升300%“

随着5G技术的普及,云计算正在迈向一个全新的阶段。传统云计算模式虽然提供了强大的算力和存储能力,但由于数据中心与用户终端的物理距离,网络时延问题始终是一个挑战。为了解决这一问题,边缘计算应运而生,并成为5G时代…

直击行业痛点,赛逸展2025科技创新奖推陈出新

面对传统奖项评选存在的“重材料、轻实效”积弊,2028第七届亚洲消费电子技术贸易展(赛逸展)的最佳科技创新奖项设置令人眼前一亮。赛逸展直击这一行业痛点,通过独特的设计,让奖项评选更具现实意义和市场导向。在本届赛…