前序:**各位客官早啊,歡迎來小店打尖住店,小店菜系齊全,物美價廉,絕對是出門在外的好選擇,客官您裏面請!!!**前面的內容裏主要給大家講了NSX的邏輯路由,同時還給大家推薦了一篇網友的好文章,希望大家可以學習到其中的精華。從今天起,要給大家將NSX的安全方面的知識,大家再接再厲。
安全是一個永恆的話題,特別是在當今高速發展的社會中,信息的安全如何保證是一個讓人頭痛的問題,因爲安全隱患永遠無法消除,只能不斷減小,安全不是一種技術,也不是一臺設備,它應該是一種意識,一種理念。
一、防火牆技術簡介
防火牆原本是汽車中的一個部件,在汽車中,利用防火牆把乘客和引擎分開,這樣一來,汽車引擎一旦着火,防火牆就能保護乘客安全。在網絡中,防火牆是指一種將內部網和公衆訪問網絡分離的方法。它能實現將“同意”的數據流量進入網絡,同時將“不同意”的數據流量拒之門外,以最大的限度阻止未經授權的用戶(如黑客)訪問受保護的網絡,或預防不經意的數據外泄。
硬件防火牆:即以串接或旁路方式連接到內部網絡的的一臺硬件設備。如果是串接方式,那麼所有需要訪問防火牆對端服務的流量,都需要通過防火牆來處理,以判斷訪問是否是經過授權的。這種方式的典型應用爲內部用戶訪問Internet而部署的網關防火牆,主要處理南北流量。如果是旁路連接,那麼防火牆不再是流量的必經設備,而是掛接在覈心交換機上。這樣一來,就可以對需要防火牆處理的流量進行設置,使其抵達核心交換機最後在進入防火牆,並再由防火牆處理後返回核心交換機,而不需要由防火牆處理的非敏感流量則直接由核心交換機處理。旁路部署方式主要用來處理東西向流量。
軟件防火牆:即用軟件的方式實現防火牆的功能。平時大家見到的自帶防火牆就是軟件防火牆,他能保護安裝windows系統的PC機免受外部非授權的用戶入侵。傳統的防火牆是有很多侷限性的,比如在處理東西向流量時,需要先經過核心交換機再有防火牆處理,流量路徑可能不是最優,帶寬可能也會有瓶頸。但是如今使用分佈式的部署方式安裝在虛擬化環境中的防火牆、交換、路由,使得東西向的流量的傳輸不需要走出虛擬化環境,可以直接運行在虛擬化環境中的一臺或多臺服務器內部完成。
二、防火牆技術及其實現
防火牆主要是通過三個技術實現的——包過濾、狀態檢測和應用代理。
包過濾技術:主要用於不同設備之間選擇可信的流量,使其能夠相互通信,而阻斷不可通信的流量。其優勢如下:防火牆會對進入和流出的每個包進行控制,進而檢查包的每個字段,例如源目地址,協議端口等。還可以識別和丟棄帶欺騙性源IP地址或端口的包。
狀態監測技術:該技術使得防火牆對經過的流量的每一個連接都進行跟蹤,並且根據需要,可以動態地在過濾規則中增加或更新條目,其優勢如下:它可以檢查IP包的每個字段,識別帶有欺詐性的源IP數據包,基於應用程序信息驗證一個包的狀態以及記錄通過每個數據包的詳細信息。
應用級防火牆:一般是當一個應用對外提供服務時的代理服務器,其優勢如下:可以指定對連接的控制,允許或拒絕基於服務器IP的訪問,或是允許或拒絕基於用戶請求連接的IP地址的訪問;還可以限制某些協議的請求,來減少網絡中不必要的服務,同時能記錄連接,包括地址和持續時間。
三、總結
這篇文章只是簡單的介紹了防火牆的原理以及作用,後面會進入正題:NSX的防火牆
天黑了,時辰不早了,我也該上閘板,洗洗腳睡覺去了,咱們明個見!!!
