程序员经验分享-hwhale

网络边界安全

2023-05-16

防火墙

防火墙的分类

按物理特性划分

  • 软件防火墙
  • 硬件防火墙

按性能划分

  • 百兆级防火墙
  • 千兆级防火墙

按防火墙结构划分

  • 单一主机防火墙
  • 路由集成防火墙
  • 分布式防火墙

按防火墙技术划分

  • 包过滤防火墙
  • 应用代理防火墙
  • 状态检测防火墙

 防火墙的功能

  1. 访问控制
  2. 地址转换
  3. 网络环境支持
  4. 带宽管理功能
  5. 高可用性
  6. 用户认证
  7. 入侵检测和攻击防御

防火墙安全策略

定义

  • 安全策略是按一定规则,控制设备对流量转发以及对流量进行内容安全一体化检测的策略。
  • 规则的本质是包过滤

主要应用

  • 对跨防火墙的网络互访进行控制
  • 对设备本身的访问进行控制

防火墙安全策略的原理

  • 步骤1:入数据流经过防火墙
  • 步骤2:查找防火墙安全策略判断是否允许下一步操作
  • 步骤3:防火墙根据定义的安全策略对数据包进行处理

防火墙安全策略作用

根据定义的规则对经过防火墙的流量进行过滤筛选,再进行下一步操作。

安全策略分类

  • 域间安全策略
  • 域内安全策略
  • 接口包过滤

传统防火墙(包过滤防火墙)——一个严格的规则表

判断信息:数据包的源IP地址、目的IP地址、协议类型、源端口、目的端口(五元组)

工作范围:网络层、传输层(3-4层)

和路由器的区别:普通的路由器只检查数据包的目标地址,并选择一个达到目的的地址的最佳路径。防火墙除了要决定目的路径以外还需要根据已经设定的规则进行判断”是与否“。

技术应用:包过滤技术

优势:对于小型站点容易实现,处理速度快,价格便宜

劣势:规则表很快会变得庞大复杂难运维,只能基于五元组

匹配规则:

  1. 有允许规则:是
  2. 有拒绝规则:否
  3. 无相关规则:否

传统防火墙(应用代理防火墙)——每个应用添加代理

判断信息:所有应用层的信息包

工作范围:应用层(7层)

和包过滤防火墙的区别

包过滤防火墙工作基于3-4,通过检验报头进行规则表匹配。

应用代理防火墙工作7层,检查所有的应用层信息包,每个应用,需要添加对应的代理服务。

技术应用:应用代理技术

优势:检查了应用层的数据

劣势:检测效率低,配置运维难度极高,可伸缩性差

传统防火墙(状态检测防火墙)——首次检查建立会话表

判断信息:IP地址、端口号、TCP标记

工作范围:数据链路层、网络层、传输层(2-4层)

和包过滤防火墙的区别

包过滤防火墙工作基于3-4层,通过检验报头进行规则表匹配。

是包过滤防火墙的升级版,一次检查建立会话表,后期直接按会话表放行。

技术应用:状态检测技术

优势:主要检查3-4层能够保证效率,对TCP防御较好

劣势:应用层控制较弱,不检查数据区

入侵检测系统(IDS)——网络摄像头

部署方式:旁路部署,可多点部署

工作范围:2-7层

工作特点:根据部署位置监控到的流量进行攻击事件监控,属于一个事后呈现的系统,相当于网络上的监控摄像头

目的:传统防火墙只能基于规则执行”是“或”否“的策略,IDS主要是为了帮助管理员清晰的了解到网络环境中发生了什么事情。

分析方式

  1. 基于规则入侵检测
  2. 基于异常清空检测
  3. 统计模型分析呈现

 入侵防御系统(IPS)——抵御2-7层已知威胁

部署方式:串联部署

工作范围:2-7层

工作特点:根据已知的安全威胁生成对应的过滤器(规则),对于规则匹配成功的流量阻断,规则匹配失败的放通

目的:IDS只能对网络环境进行检测,但却无法进行防御,IPS主要是针对已知威胁进行防御

 防病毒网关(AV)——基于网络侧识别病毒文件

判断信息:数据包

工作范围:2-7层

目的:防止病毒文件通过外网络进入到内网环境

 Web应用防火墙(WAF)——专门用来保护web应用

判断信息:http协议数据的request和response

工作范围:应用层(7层)

目的:防止基于应用层的攻击影响Web应用系统

主要技术原理

  1. 代理服务:会话双向代理,用户与服务器不产生直接链接,对于DDOS攻击可以抑制
  2. 特征识别:通过正则表达式的特征库进行特征识别
  3. 算法识别:针对攻击方式进行模式化识别,如SQL注入、DDOS、XSS等

统一威胁管理(UTM)——多合一安全网关

包含功能:FW、IDS、IPS、AV

工作范围:2-7层(但是不具备web应用防护能力)

目的:将多种安全问题通过一台设备解决

优点:功能多合一有效降低了硬件成本、人力成本、时间成本

缺点:模块串联检测效率低、性能消耗大

下一代防火墙(NGFW)——升级版的UTM

包含功能:FW、IDS、IPS、AV、WAF

工作范围:2-7层

和UTM的区别

与UTM相比增加的web应用防护功能;

UTM是串行处理机制,NGFW是并行处理机制;

NGFW的性能更强,管理高效

 防火墙的性能指标

吞吐量

吞吐量:防火墙能同时处理的最大数据量

有效吞吐量:除掉TCP因为丢包和超时重发的数据,实际的每秒传输有效速率

衡量标准:吞吐量越大,性能越高

时延

定义:数据包的第一个比特进入防火墙到最后一个比特输出防火墙的时间间隔指标用于测量防火墙处理数据的速度理想的情况,测试的是其存储转发的性能。

衡量标准:时延越小,性能越高

丢包率

定义:在连续负载的情况下,防火墙由于资源不足,应转发但是未转发的百分比。

衡量标准:丢包越小,防火墙的性能越高

背靠背

衡量标准:背靠背主要是指防火墙混冲容量的大小。网络上常会出现一些突发的大流量,而且这样的数据包的丢失可能会产生更多的数据包丢失。强大的缓冲能力可以减小对这种突发网络情况造成的影响。

并发连接数

定义:由于防火墙是针对连接进行处理的,并发连接数目是指防火墙可以同时容纳的最大的连接数目,一个连接就是一个TCP/UDP的访问。

衡量指标:并发连接数指标越大,抗攻击能力越强

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

网络边界安全 的相关文章

随机推荐

  • Jmeter性能测试(21)--jmeter常用插件介绍

    jmeter作为一个开源的接口性能测试工具 xff0c 其本身的小巧和灵活性给了测试人员很大的帮助 xff0c 但其本身作为一个开源工具 xff0c 相比于一些商业工具 xff08 比如LoadRunner xff09 xff0c 在功能的

  • reStructuredText 初学者语法汇总

    文档格式编辑 xff0c 目前主流最强大的是LaTeX xff0c 但是语法太复杂 xff0c 环境要求也多 xff0c 有的时候也是写文档往往选择 Markdown 常常怀疑文档编辑的Markdown不是亲生的 xff0c 很多功能不全

  • C++如何写自定义的头文件

    C 43 43 是一种非常热门的面向对象语言 xff0c 受到很多人的欢迎 在C语言的基础上 xff0c C 43 43 进行了很多的改进 xff0c 并引入了许多新的头文件 xff0c 方便我们使用 比如要进行字符串操作就引入string

  • 虚拟机Vmware安装Ubuntu系统

    vm虚拟机下载安装 安装位置可以任意选择 xff0c 但是路径中不要出现中文字符 两个选项都取消掉 点击许可证 激活码就是许可证选择一个复制即可 Ubuntu系统下载安装 Ubuntu系统可直接前往其官网进行下载 buntu 22 04 L

  • 深入理解JVM虚拟机

    文章目录 深入理解JVM虚拟机JDK1 8新特性 xff1a JVM架构图 xff1a 类装载器知识点 xff1a 类装载器 xff1a 双亲委派机制 xff1a 沙箱安全机制 xff1a Execution Engine执行引擎负责解释命

  • Linux基础指令详解

    目录 前言 Linux基本指令 1 ls指令 1 1 ls 1 2 ls l 1 3 ls a 1 4 ls d 1 5 绝对路径和相对路径 2 pwd指令 3 cd指令 4 touch指令 5 mkdir指令 6 rmdir指令和rm指令

  • aruco识别,python实现

    需要配置anaconda xff0c 用spyder进行python语言编辑 xff0c 实现对aruco码的编写 代码比较垃圾 xff0c 不喜勿喷 配置过程如下 xff1a 视觉系统的运行需要搭建视觉环境 xff0c 包括 xff0c

  • 关于使用HTTP上传文件到hdfs文件系统

    String tenantName 61 System getenv 34 OPENPALETTE NAMESPACE 34 String dataIntegrationServiceName 61 34 dataintegration m

  • 详解 FTP、FTPS 与 SFTP 的原理

    FTP FTPS 与 SFTP 简介 FTP FTP 即 文件传输协议 xff08 英语 xff1a File Transfer Protocol 的缩写 xff09 是一个用于计算机网络上在客户端和服务器之间进行文件传输的应用层协议 完整

  • 用函数调用,把在一个函数的内部改变另一个函数的变量(这个变量相对于第一个函数就是一个外部变量)

    include lt stdio h gt void add int p 指针是整数 xff0c 所以其类型是int整型 这里 p外部变量num的地址 xff0c 即 p 61 num p 43 43 指针变量在单独使用时记得要加括号表示一

  • keil5 C51版本安装及MDK5合并,搭建STM32开发环境(详细教程)

    keil5安装及MDK5合并 资源说明 已将文章中涉及到的所有软件安装包及注册机2032版都放置到百度网盘 xff0c 链接 xff1a 百度云盘链接 提取码 xff1a 0109 1 C51安装 首先在keil官网里下载软件安装包 xff

  • Jmeter性能测试(22)--内存溢出原因及解决方法

    jmeter是一个java开发的开源性能测试工具 xff0c 在性能测试中可支持模拟并发压测 xff0c 但有时候当模拟并发请求较大或者脚本运行时间较长时 xff0c 压力机会出现卡顿甚至报异常 内存溢出 xff0c 这里就介绍下如何解决内

  • Ubuntu16.04的安装教程

    Ubuntu16 04的安装 这里我们会介绍Ubuntu16 04的史诗级保姆教程 开始了 xff0c 车速有点快 xff0c 系好安全带 xff0c 发车了 xff01 1 打开浏览器 xff0c 找到Ubuntu的官网 2 单击 系统桌

  • 电脑触摸板无法使用,I2C HID设备异常处理。

    本人电脑 戴尔 Vostro3400 xff0c win10系统 xff0c 触摸板突然失灵 xff0c 客服让我更新BIOS驱动 xff0c 关闭电源选项的快速启动等等 好了一阵 xff0c 再一重启又失灵 经过无限次百度 xff0c 终

  • 自我简介,对软件工程课程的希望及个人目标

    我是一名桂林理工大学信息科学与工程学院软件工程本科大二年纪的学生 xff0c 热爱学习 xff0c 努力上进 xff0c 对未来充满希望 xff0c 很高兴能学习软件工程这门课程 我对这门课程的希望 xff1a 1 我希望通过学习软件工程这

  • 用HTML、CSS写一个酷炫的动态搜索框

    用HTML CSS写一个酷炫的动态搜索框 可伸展的动态搜索框 xff01 复制粘贴即可用 xff01 HTML部分 xff1a span class token doctype lt DOCTYPE html gt span span cl

  • 使用 curl/git 命令时出现 Failed to connect to XXX port 443: 拒绝连接

    文章目录 原因与过程解决办法 原因与过程 今天在linux下安装docker compose出现Failed connect to github com 443 拒绝连接 网上查了下说是DNS被污染 xff0c 改下host文件 解决办法

  • 【C++】30h速成C++从入门到精通(STL介绍、string类)

    STL简介 什么是STL STL standard template libaray 标准模板库 xff1a 是C 43 43 标准库的重要组成部分 xff0c 不仅是一个可复用的组件库 xff0c 而且是一个包罗数据结构与算法的软件框架

  • redis分布式锁

    1 Redis分布式锁最简单的实现 想要实现分布式锁 xff0c 必须要求 Redis 有 互斥 的能力 xff0c 我们可以使用 SETNX 命令 xff0c 这个命令表示SET if Not Exists xff0c 即如果 key 不

  • 网络边界安全

    防火墙 防火墙的分类 按物理特性划分 软件防火墙硬件防火墙 按性能划分 百兆级防火墙千兆级防火墙 按防火墙结构划分 单一主机防火墙路由集成防火墙分布式防火墙 按防火墙技术划分 包过滤防火墙应用代理防火墙状态检测防火墙 防火墙的功能 访问控制

热门标签