完美彩票官方下载app

  • <tt class='tlJykMlA'></tt>
  • <thead class='94K7Lauipx'><option class='9cNvbSu7LJ'></option></thead>

    <em class='jepytdnyfeW3'><b class='oR1Ys12nk'><td class='6rzzLTN'></td></b></em>

  • <dl class='Td0EmkF'><b class='qoWhaibfJ9'></b></dl>

  • <span class='lS1G'></span>

    推广 热搜: seo  大数据  网站  win7  电脑  华为  苹果手机  vpn  U盘  服务器 

    防火墙分类及状态检测防火墙原理详解

       日期:2020-03-04 12:26:50     浏览:0    

    防火墙三种类型

    1、包过滤防火墙

    包过滤是最早使用的一一种防火墙技术,它的一第一代模型是“静态包过滤”,使用包过滤技术的一防火墙通常工作在OSI模型中的一网络层上    ,后来发展更新的一“动态包过滤”,简而言之,包过滤技术工作的一方法就是基于各种头部、协议、地址、端口、类型等信息进行分析,并与预先设定好的一防火墙过滤规则进行核对,一旦发现某个或多个部分与过滤规则匹配并且条件为“阻止”的一时候,这个包会被丢弃 。

    2、应用代理防护墙

    由于包过滤技术无法提供完善的一数据保护措施,而且一些特殊的一报文攻击仅仅使用过滤的一方法并不 能消除危害(如SYN攻击、ICMP洪水等),代理防护墙应运而生,这种防火墙实际上    就是一台小型代用数据检测过滤功能的一透明代理服务器,但是它并不 是单纯在一个代理设备嵌入包过滤技术,而是一种被称为“应用协议分析”的一新技术,它工作在OSI模型的一最高层——应用层 。

    3、状态检测防火墙

    这是继“包过滤”技术№和“应用代理”技术后发展的一防火墙技术,它通过采用一种被称为“状态监视”的一模块,对网络通信各个层次实现监测,并根据各种过滤规则作出安全策略 。“安全监视”技术在保留了对每个数据包的一头部、协议、地址、端口、类型等信息就那些分析的一基础上    ,进一步发展了“会话过滤”功能,在每个链接建立时,防护墙会对这个连接构造一个会话状态,里面包含了这个连接数据包的一所有信息,以后这个连接都基于这个状态信息进行 。

    状态防火墙的一优势

    状态检测防火墙出现是防火墙发展历史上    里程碑的一事件,而其所使用的一状态检测№和会话机制,目前已经成为防火墙产品的一基本功能,也是防火墙实现安全防护的一基础技术 。

    在状态检测防火墙出现之前,包过滤防火墙只根据设定好的一静态规则来判断是否允许报文通过,它认为报文都是无状态的一孤立个体,不 关注报文产生的一前因 后果,这就要求包过滤防火墙必须针对每一个方向上    的一报文都配置一条规则,转发效率低下而且容易带来安全风险 。

    而状态检测防火墙的一出现正好弥补了包过滤防火墙的一这个缺陷 。状态检测防火墙使用基于连接状态的一检测机制,将通信双方之间交互的一属于同一连接的一所有报文都作为整个的一数据流来对待 。在状态检测防火墙看来,同一个数据流内的一报文不 再是孤立的一个体,而是存在联系的一 。例如,为数据流的一第一个报文建立会话,数据流内的一后续报文就会直接匹配会话转发,不 需要再进行规则的一检查,提高了转发效率 。

    先看一个简单的一网络环境,如下图所示,PC№和Web服务器位于不 同的一网络,分别与防火墙相连,PC与Web服务器之间的一通信受到防火墙的一控制 。

    防火墙分类及状态检测防火墙原理详解

     

    当PC需要访问Web服务器浏览网页时,在防火墙上    必须配置如下的一一条规则,允许PC访问Web服务器的一报文通过 。

    防火墙分类及状态检测防火墙原理详解

     

    在这条规则中,源端口处的一*表示任意的一端口,这是因 为PC在访问Web服务器时,它的一操作系统决定了所使用的一源端口 。例如,对于windows操作系统来说,这个值可能是1024~65535范围内任意的一一个端口 。这个值是不 确定的一,所以这里设定为任意端口 。

    配置了这条规则后,PC发出的一报文就可以顺利通过防火墙,到达Web服务器 。然后Web服务器将会向PC发送回应报文,这个报文也要穿过防火墙才能到达PC 。在状态检测防火墙出现之前,包过滤防火墙还必须配置如下所示的一规则2,允许反方向的一报文通过 。

    防火墙分类及状态检测防火墙原理详解

     

    在规则2中,目的一端口也设定为任意端口,因 为我们无法确定PC访问Web服务器时使用的一源端口,要想使Web服务器回应的一报文都能顺利穿过防火墙到达PC,只能将规则2中的一目的一端口设定为任意端口 。

    如果PC位于受保护的一网络中,这样处理将会带来很大的一安全问题 。规则2将去往PC的一目的一端口全部开放,外部的一恶意攻击者伪装成Web服务器,就可以畅通无阻地穿过防火墙,PC将会面临严重的一安全风险 。

    接下来让我们看一下状态检测防火墙怎么解决这个问题 。还是以上    面的一网络环境为例,首先我们还是需要在防火墙上    设定规则1,允许PC访问Web服务器的一报文通过 。当报文到达防火墙后,防火墙允许报文通过,同时还会针对PC访问Web服务器的一这个行为建立会话(Session),会话中包含了PC发出的一报文信息,如地址№和端口等 。

    当Web服务器回应给PC的一报文到达防火墙后,防火墙会把报文中的一信息与会话中的一信息进行比对,发现报文中的一信息与会话中的一信息相匹配,并且符合协议规范对后续包的一定义,则认为这个报文属于PC访问Web服务器行为的一后续回应报文,直接允许这个报文通过,如下图所示 。

    防火墙分类及状态检测防火墙原理详解

     

    光说不 练假把式,下面使用eNSP模拟器来搭建一个简单的一网络环境,验ζ证防火墙上    的一状态检测机制 。网络拓扑如下:

    防火墙分类及状态检测防火墙原理详解

     

    基本配置

    [USG6000V1]interface GigabitEthernet 1/0/1
    [USG6000V1-GigabitEthernet1/0/1]ip address 202.102.10.1 24
    [USG6000V1]interface GigabitEthernet 1/0/0
    [USG6000V1-GigabitEthernet1/0/0]ip address 192.168.1.1 24
    [USG6000V1]firewall zone trust
    [USG6000V1-zone-trust]add interface GigabitEthernet 1/0/0
    [USG6000V1]firewall zone dmz
    [USG6000V1-zone-dmz]add interface GigabitEthernet 1/0/1

    配置安全策略

    为了方便我这里建议使用web界面去配置,安全策略,如下图

    防火墙分类及状态检测防火墙原理详解

     

    防火墙上    只配置了一条规则:允许PC访问Web服务器的一报文通过 。在PC上    使用HttpClient程序访问Web服务器,发现可以成功访问:

    防火墙分类及状态检测防火墙原理详解

     

    在防火墙上    使用display firewall session table命令查看会话表的一信息,发现已经建立一条会话:

    防火墙分类及状态检测防火墙原理详解


     
    标签: 防火墙
    声明:以上    内容及图片为用户投稿内容,版权非音速商务网所有,如需商业转载请获得作者授权 。
    本页地址:完美彩票官方下载apphttp://it./202003/250.html
     
    更多>同类电脑网络
    更多>同类电脑网络

    推荐图文
    推荐电脑网络
    点击排行

    首页

    免责声明: 本站资 料及图片来源互联网 文章,本网不承担任 何由内容 信息所引起的争议和法律责任。所有作品版权归原创作 者所有,与本站立场无关,如用户分  享不慎侵犯了 您的权益,请联系我们告 知,我们将做 删除处理!

    <option id="lrq7b" ><sup id="lrq7b" ></sup></option>
    <noscript id="lrq7b" ><nobr id="lrq7b" ><label id="lrq7b" ></label></nobr></noscript>
    1. <em id="lrq7b" ></em>
      <div id="lrq7b" ><optgroup id="lrq7b" ></optgroup></div>
      <dfn id="lrq7b" ></dfn>

        <u id="lrq7b" ></u>