中國專業(yè)IT外包服務(wù)

加入收藏??

公司微博

網(wǎng)站地圖??

IT外包價格計算器

您當(dāng)前位置：主頁 > 資訊動態(tài) > 艾銻分享 >

網(wǎng)絡(luò)運維|防火墻技術(shù)

2020-07-08 21:19 作者：admin

網(wǎng)絡(luò)運維|防火墻技術(shù)

大家好，我是一枚從事IT外包的網(wǎng)絡(luò)安全運維工程師，今天和大家分享的是網(wǎng)絡(luò)安全設(shè)備維護相關(guān)的內(nèi)容。今天和大家聊一聊防火墻的NAT應(yīng)用場景，簡單網(wǎng)絡(luò)安全運維，從防火墻學(xué)起,一步一步學(xué)成網(wǎng)絡(luò)安全運維大神。
網(wǎng)絡(luò)維護是一種日常維護，包括網(wǎng)絡(luò)設(shè)備管理(如計算機，服務(wù)器)、操作系統(tǒng)維護(系統(tǒng)打補丁，系統(tǒng)升級)、網(wǎng)絡(luò)安全(病毒防范)等。+
北京艾銻無限科技發(fā)展有限公司為您免費提供給您大量真實有效的北京網(wǎng)絡(luò)維護服務(wù)，北京網(wǎng)絡(luò)維修信息查詢，同時您可以免費資訊北京網(wǎng)絡(luò)維護，北京網(wǎng)絡(luò)維護服務(wù)，北京網(wǎng)絡(luò)維修信息。專業(yè)的北京網(wǎng)絡(luò)維護信息就在北京艾銻無限+
+
北京網(wǎng)絡(luò)維護全北京朝陽豐臺北京周邊海淀、大興、昌平、門頭溝、通州、西城區(qū)、燕郊、石景山、崇文、房山、宣武、順義、平谷、延慶全北京網(wǎng)絡(luò)維護信息
大家好，我是一枚從事IT外包的網(wǎng)絡(luò)運維工程師，今天和大家聊點安全方面的技術(shù)，這次咱們就聊一聊防火墻技術(shù)。

防火墻簡介

定義

防火墻（Firewall）是一種隔離技術(shù)，使內(nèi)網(wǎng)和外網(wǎng)分開，可以防止外部網(wǎng)絡(luò)用戶以非法手段通過外部網(wǎng)絡(luò)進入內(nèi)部網(wǎng)絡(luò)，保護內(nèi)網(wǎng)免受外部非法用戶的侵入。

目的

在大廈構(gòu)造中，防火墻被設(shè)計用來防止火從大廈的一部分傳播到另一部分。網(wǎng)絡(luò)中的防火墻有類似的作用：
· 防止因特網(wǎng)的危險傳播到私有網(wǎng)絡(luò)。
· 在網(wǎng)絡(luò)內(nèi)部保護大型機和重要的資源（如數(shù)據(jù)）。
· 控制內(nèi)部網(wǎng)絡(luò)的用戶對外部網(wǎng)絡(luò)的訪問。

防火墻原理安全域的描述

安全區(qū)域

安全域是防火墻功能實現(xiàn)的基礎(chǔ)，防火墻的安全域包括安全區(qū)域和安全域間。
在防火墻中，安全區(qū)域（Security Zone），簡稱為區(qū)域（zone），是一個或多個接口的組合，這些接口所包含的用戶具有相同的安全屬性。每個安全區(qū)域具有全局唯一的安全優(yōu)先級。
設(shè)備認(rèn)為在同一安全區(qū)域內(nèi)部發(fā)生的數(shù)據(jù)流動是可信的，不需要實施任何安全策略。只有當(dāng)不同安全區(qū)域之間發(fā)生數(shù)據(jù)流動時，才會觸發(fā)防火墻的安全檢查，并實施相應(yīng)的安全策略。

安全域間

任何兩個安全區(qū)域都構(gòu)成一個安全域間（Interzone），并具有單獨的安全域間視圖，大部分的防火墻配置都在安全域間視圖下配置。
例如：配置了安全區(qū)域zone1和zone2，則在zone1和zone2的安全域間視圖中，可以配置ACL包過濾功能，表示對zone1和zone2之間發(fā)生的數(shù)據(jù)流動實施ACL包過濾。
在安全域間使能防火墻功能后，當(dāng)高優(yōu)先級的用戶訪問低優(yōu)先級區(qū)域時，防火墻會記錄報文的IP、VPN等信息，生成一個流表。當(dāng)報文返回時，設(shè)備會查看報文的IP、VPN等信息，因為流表里記錄有發(fā)出報文的信息，所以有對應(yīng)的表項，返回的報文能通過。低優(yōu)先級的用戶訪問高優(yōu)先級用戶時，默認(rèn)是不允許訪問的。因此，把內(nèi)網(wǎng)設(shè)置為高優(yōu)先級區(qū)域，外網(wǎng)設(shè)置為低優(yōu)先級區(qū)域，內(nèi)網(wǎng)用戶可以主動訪問外網(wǎng)，外網(wǎng)用戶則不能主動訪問內(nèi)網(wǎng)。

基于安全域的防火墻的優(yōu)點

傳統(tǒng)的交換機/路由器的策略配置通常都是圍繞報文入接口、出接口展開的，隨著防火墻的不斷發(fā)展，已經(jīng)逐漸擺脫了只連接外網(wǎng)和內(nèi)網(wǎng)的角色，出現(xiàn)了內(nèi)網(wǎng)/外網(wǎng)/DMZ（Demilitarized Zone）的模式。在這種組網(wǎng)環(huán)境中，傳統(tǒng)基于接口的策略配置方式給網(wǎng)絡(luò)管理員帶來了極大的負(fù)擔(dān)，安全策略的維護工作量成倍增加，從而也增加了因為配置引入安全風(fēng)險的概率。
除了復(fù)雜的基于接口的安全策略配置，某些防火墻支持全局的策略配置，全局策略配置的缺點是配置粒度過粗，一臺設(shè)備只能配置同樣的安全策略，滿足不了用戶在不同安全區(qū)域或者不同接口上實施不同安全策略的要求，使用上具有明顯的局限性。
與基于接口和基于全局的配置相比，基于安全域的防火墻支持基于安全區(qū)域的配置方式，通過將接口加入安全區(qū)域并在安全區(qū)域域間配置安全策略，既降低了網(wǎng)絡(luò)管理員配置負(fù)擔(dān)，又能滿足復(fù)雜組網(wǎng)情況下針對安全區(qū)域?qū)嵤┎煌舴婪恫呗缘囊蟆?/span>

防火墻工作模式

為了增加防火墻組網(wǎng)的靈活性，設(shè)備不再定義整個設(shè)備的工作模式，而是定義接口的工作模式，接口的工作模式如下。

路由模式

當(dāng)設(shè)備位于內(nèi)部網(wǎng)絡(luò)和外部網(wǎng)絡(luò)之間，同時為設(shè)備與內(nèi)部網(wǎng)絡(luò)、外部網(wǎng)絡(luò)相連的接口分別配置不同網(wǎng)段的IP地址，并重新規(guī)劃原有的網(wǎng)絡(luò)拓?fù)浣Y(jié)構(gòu)。
如圖1所示，規(guī)劃了2個安全區(qū)域：Trust區(qū)域和Untrust區(qū)域，設(shè)備的Trust區(qū)域接口與公司內(nèi)部網(wǎng)絡(luò)相連，Untrust區(qū)域接口與外部網(wǎng)絡(luò)相連。
需要注意的是，Trust區(qū)域接口和Untrust區(qū)域接口分別處于兩個不同的子網(wǎng)中。
圖1 路由模式組網(wǎng)圖

當(dāng)報文在三層區(qū)域的接口間進行轉(zhuǎn)發(fā)時，根據(jù)報文的IP地址來查找路由表。此時設(shè)備表現(xiàn)為一個路由器。但是，與路由器不同的是，設(shè)備轉(zhuǎn)發(fā)的IP報文還需要進行過濾等相關(guān)處理，通過檢查會話表或ACL規(guī)則以確定是否允許該報文通過。除此之外，防火墻還需要完成其它攻擊防范檢查。

防火墻的應(yīng)用案例

防火墻應(yīng)用在內(nèi)外網(wǎng)之間

如圖2所示，防火墻用在內(nèi)外網(wǎng)絡(luò)邊緣處，防止外部網(wǎng)絡(luò)對內(nèi)部網(wǎng)絡(luò)的入侵。對于使用私有地址的內(nèi)部網(wǎng)絡(luò)，可以通過NAT、ALG技術(shù)和防火墻技術(shù)結(jié)合，實現(xiàn)更進一步的安全防護。
圖2 防火墻應(yīng)用在內(nèi)外網(wǎng)之間的示意圖

防火墻在內(nèi)部網(wǎng)絡(luò)中的應(yīng)用

如圖3所示，防火墻用于內(nèi)部網(wǎng)絡(luò)中，主要是為了防止發(fā)自內(nèi)部的攻擊，保障重要數(shù)據(jù)的安全性。數(shù)據(jù)中心存儲了大量的公司機密。這時，防火墻就需要配置嚴(yán)謹(jǐn)?shù)牟呗砸员Ｗo數(shù)據(jù)中心。
圖3 防火墻應(yīng)用在內(nèi)部網(wǎng)絡(luò)的示意圖

以上文章由北京艾銻無限科技發(fā)展有限公司整理

分享到:

上一篇：網(wǎng)絡(luò)運維|攻擊防范

下一篇：網(wǎng)絡(luò)運維|深度安全防御

相關(guān)文章