防火墙基础知识

1、防火墙技术、防火墙的概念、防火墙是指在本地网络和外部网络系统之间隔离的防御系统，这种预防措施的总称。 互联网上的防火墙是一种非常有效的网络安全模型，它隔离风险区(互联网或有风险的网络)和安全区(局域网)的连接，并阻止对风险区的访问防火墙的概念、信任网络、防火墙、不信任网络、防火墙是防御黑客最严格、安全性最强的方法。 下图是一个典型的防火墙系统，与防火墙相关的术语，主机：连接到网络的计算机系统要塞主机：连接到内部网络并露出到外部网络的计算机系统，其特性容易侵入。 外围网络：为了增加安全控制，在外联网系统和内联网系统之间添加的网络. 周边网络有时也称为DMZ (来自非武装地区，北朝鲜北方和南方的地

2、区)代理服务器：代表内部网络和外部服务器进行信息交换的程序。 向外部服务器发送授权内部用户的请求，并向用户发送外部服务器的响应。 防火墙的基本功能，防火墙系统可以决定可以从外部访问的内部服务，以及内部员工可以访问的外部服务。 防火墙具有： 1功能，网络管理员可以定义中心点，防止未经授权的用户进入内部网络。 2可以简单地监视网络的安全性，发出警报。 作为展开防火墙的基本功能NAT(Network Address Translation，网络地址转换)的场所，利用NAT技术，通过动态地或静态地将有限的IP地址与内部的IP地址建立对应，来避免地址空间不足4是审计和记录互联网使用费的最佳地方。 5可以

3、被连接到单独的网络段，并且在物理上与内部网络段隔离，其中WWW服务器和FTP服务器可以是向外部发布内部信息的地方。 技术上，是所谓的停战区(DMZ )。 防火墙的优点，加强安全策略互联网上的活动限制暴露用户点(隔离不同的网络，限制安全问题的扩散)是安全策略检查站发出安全警告，防火墙不足， 防火墙不是万能的防火墙的缺点：是因为，在内部攻击中，恶意的熟人或粗心的用户通过不经由防火墙的连接无法直接抵抗恶意程序(由于病毒的种类很多，所以在防火墙中使用病毒代码的)防火墙的关键技术、过滤技术、代理服务技术主动检测技术、过滤包技术、过滤包实际上基于路由器的技术，来选择路由器的IP包，并允许或拒绝包的通过。

4、为了过滤，必须制定几个过滤规则(访问控制表)。 过滤的依据是源、目的地IP地址源、目的地端口： FTP、HTTP、DNS等的分组协议类型： TCP、UDP、ICMP等的分组流： in或out分组流网络接口： e 设置分组过滤防火墙的操作图像、实例，分组过滤的优点和缺点：简单、强透明度过滤路由器快速、高效。 包过滤的优点和缺点：要配置基于包过滤方法的防火墙，需要深入了解IP、TCP、UDP、ICMP等各种协议，否则， 只有网络层和传输层的有限信息才能判别容易因配置错误而发生问题的过滤器，因为未充分满足各种安全要求的数据包的地址和端口号位于数据包的开头，所以无法完全防止地址欺骗的外部客户和内部主机

5、应用程序级网关、代理服务技术和代理服务技术也被称为应用程序级网关，它可以自己接收和分析数据，而无需直接通过包. “可靠”服务通过。代理服务器必须理解代理所需的服务，并为每个服务提供详细的访问日志，以认证各种用户。 经常使用的代理服务器包括代理、代理等. 应用级网关防火墙的工作影像、应用级网关防火墙的特征、应用网关代理的优点是配置容易，接口友好，内外网络主机不允许直接连接，比包过滤更详细。 例如，在一个HTTP连接中，包过滤只能记录单个包，无法记录文件名、URL等信息，可以隐藏内部IP地址。可以为每个用户提供一种透明的加密机制。 代理技术的缺点是代理速度比包过滤慢的代理对用户是不透明的，因此对用

6、户的使用很不方便，此代理技术需要为每个协议设置不同的代理服务器。 在Telnet应用程序代理进程中，用户首先通过Telnet连接到应用程序网关主机，然后连接到内部目标主机的名称(域名、IP地址) 基于事先设定的用于输入应用网关来检查用户的源IP地址等的接入规则，来确定是转发还是拒绝转发，以及用户需要认证的(例如，高级认证设备，例如一次秘密)应用网关的在网关和内部主机之间为用户建立的Telnet连接代理服务器在两个连接(用户/应用网关、代理服务器/内部主机)之间传输数据应用网关并记录此连接启动状态检测包过滤技术，启动监视程序监视网络，在发生网络攻击时立即警告或断开。 用于安全性非常高的网络系统，

7、并消耗内存。 防火墙的设计、防火墙的安全策略，(1)未经显式许可的通常被拒绝，但很难操作，可能会拒绝网络用户的通常需要和合法服务；(2)几乎没有被显式拒绝的这种防火墙可能会带来很多风险和安全问题. 攻击者可以拒绝在策略中未定义的服务，并且允许网络进行攻击。 从防火墙的分类、技术上使用包过滤技术检测服务技术状态的技术到软件防火墙硬件防火墙芯片级的防火墙、防火墙的分类，再到防火墙的分类。 从部署位置到个人防火墙网络防火墙的混合防火墙，防火墙技术的实现Windows防火墙的应用在监听ping包模拟器中的访问控制列表的介绍， 防火墙发展的第一阶段：路由器防火墙的第二阶段：用户化防火墙工具套件的第三阶段

8、：在通用操作系统上构建的防火墙的第四阶段：具有安全操作系统的防火墙，防火墙产品的发展第一代防火墙产品的特征：通过路由器自身分析组，通过访问控制表(access list )方式过滤组实现过滤判定的根据是地址、端口号、IP标志和其他网络特征防火墙与路由器集成，可使用对低安全要求的网络或路由器赋予防火墙功能的方法，而对安全要求高的网络可单独使用一个路由器作为防火墙。 第一阶段：基于路由器的防火墙，第一阶段：基于路由器的防火墙，第一代防火墙产品的缺点是，路由协议非常灵活，其本身有安全漏洞，外部网络很容易找到内部网络路由器上的包过滤规则的设置和配置存在安全问题。 攻击者可以“伪装”地址，信息是在网络上

9、以明文发送的，因此黑客可以通过在网络上伪造假根信息来欺骗防火墙。 防火墙的规则设置会大大降低路由器的性能。第二阶段：作为用户化的防火墙工具套件、第二代防火墙产品，用户化的防火墙工具套件可以使过滤功能独立于路由器，并添加审计和警告功能以满足用户的需要。 提供模块化软件包的软件可以通过网络发送，用户可以根据需要构建防火墙，与第一代防火墙相比，安全性提高，价格降低。 第二阶段：用户化防火墙工具套件(cont.)，缺点：对于部署和维护流程复杂、耗时的用户，实现了技术要求高的整个软件，安全性和处理速度有限的实践表明，在使用中常常会出现错误。 第三阶段：在通用操作系统上构建的防火墙具有以下特征：设置专用的

10、代理系统，包括包过滤或借用路由器的包过滤功能，是大量发售的专用防火墙产品，包括所有协议的数据和第三阶段：建立在通用操作系统上的防火墙(cont.)通常不知道基础操作系统及其内核，因为源代码的秘密， 由于大多数防火墙制造商不能保证安全性，所以通用操作系统制造商对操作系统的安全性不负责。本质上，第三代防火墙可以防止来自外部网络的攻击，并可以防止来自操作系统制造商的攻击。 用户必须依赖防火墙供应商和操作系统供应商两种安全支持. 第四阶段：具有安全操作系统的防火墙，其防火墙制造商具有操作系统源代码，并能够实现安全内核，如果对安全内核实现了强化处理：则是不需要的系统对所有增强安全保护的服务器、子系统进行安全处理，黑客突破服务器时，被隔