EqLlyHJ5w6,694hQRgLWm

防火墙基本原理及ACL基本知识

来源:济南磐龙笔记本交换机维修作者:济南磐龙交换机维修网址:http://www.pldtwx.com


防火墙基本原理及ACL基本知识



防火墙功能:

内外网络隔离:

u
截取IP包,根据安全策略控制其进/

u
双向网络地址转换(NAT

u
基于一次性口令对移动访问进行身份识别和控制

u
IP
MAC
捆绑,防止IP地址的滥用

安全记录:

u
通信事件记录

u
操作事件记录

u
违规事件记录

u
异常情况告警


安全公理/定理/推理:

公理:所有的程序都有缺陷(墨菲定理)

大程序定理:大程序的缺陷甚至比它包含的内容还多

推理:一个安全相关程序有安全性缺陷

定理:只要不运行这个程序,那么这个程序有缺陷,也无关紧要

推理:只要不运行这个程序,那么这个程序有安全性漏洞,也无关紧要

定理:对外暴露的计算机,应尽可能少地运行程序,且运行的程序也尽可能的小

推论:防火墙基本法则:防火墙必须配置尽肯能的小,才能降低风险。



ACL访问控制列表:

应用在路由器接口的指令列表;指定哪些数据包可以接受,哪些需要拒绝

ACL用途:

a.
限制网路流量,提高网络性能

b.
提供对通信流量的控制手段

c.
提供网络访问的基本呢安全手段

d.
在路由器(交换机)接口处,决定哪种类型的通信浏览被转发,哪种被阻塞


ACL分类:

防火墙基本原理及ACL基本知识

标准IP
ACL
根据报文的源地址测试

扩展IP
ACL
可以测试IP报文的源,目的地址,协议,端口号


标准ACL

防火墙基本原理及ACL基本知识

ACL配置:

Router(config)#

access-list
access-list-number

{permit
|
deny}
{test
conditions}

Router(config)#

{
protocol
}
access-group
access-list-number

{
in
|
out
}

建议设置ACL的位置:

在靠近源地址的网络接口上设置扩展ACL

在靠近目的地址的安络接口上设置标准ACL

防火墙的分类:

1.
包过滤防火墙

基本思想




对于每个进来的包,适用一组规则,然后决定转发或者丢弃该包




一般配置成双向的

如何过滤




过滤的规则以IP和传输层的头中的域(字段)为基础,包括源和目标IP地址,IP协议域,源和目标端口号




过滤器一般建立一组规则,根据IP包是否匹配规则中指定的条件来作出决定系统在网络层检查数据包,与应用层无关。这样系统就具有很好的传输性能,可扩展能力强。但是,包过滤防火墙的安全性有一定的缺陷,因为系统对应用层信息无感知,也就是说,防火墙不理解通信的内容,所以可能被黑客所攻破。

优点:

a.
实现简单

b.
对用户透明

c.
效率高

缺点:

a.
正确制定规则并不容易

b.
不可能引入认证机制

一般Router实现包过滤防火墙。

路由器的访问控制列表是网络安全保障的第一关卡。

访问控制列表提供了一种机制,它可以控制和过滤路由器不同接口去往不同方向的信息流。




2.
应用网关防火墙(代理防火墙)





应用网关防火墙检查所有应用层的信息包,并将检查的内容信息放入决策过程,从而提高网络的安全性。然而,应用网关防火墙是通过打破客户机/服务器模式实现的。每个客户机/服务器通信需要两个连接:一个是从客户端到防火墙,另一个是从防火墙到服务器。另外,每个代理需要一个不同的应用进程,或一个后台运行的服务程序,对每个新的应用必须添加针对此应用的服务程序,否则不能使用该服务。所以,应用网关防火墙具有可伸缩性差的缺点。

3.
状态监测防火墙

济南磐龙笔记本交换机维修,专业芯片级维修服务商 www.pldtwx.com

EqLlyHJ5w6