思科ccna認證技術之網絡安全基礎入門CCNA 1.0 網絡硬件防火牆技術解析-ielab防火牆技術,最初是針對 Internet 網絡不安全因素所採取的一種保護措施。顧名思義,防火牆就是用來阻擋外部不安全因素影響的內部網絡屏障,其目的就是防止外部網絡用戶未經授權的訪問。它是一種計算機硬件和軟件的結合,使Internet與Internet之間建立起一個安全網關(Security Gateway),從而保護內部網免受非法用戶的侵入,防火牆主要由服務訪問政策、驗證工具、包過濾和應用網關4個部分組成,防火牆就是一個位於計算機和它所連接的網絡之間的軟件或硬件(其中硬件防火牆用的很少只有國防部等地才用,因爲它價格昂貴)。該計算機流入流出的所有網絡通信均要經過此防火牆。
防火牆有網絡防火牆和計算機防火牆的提法。網絡防火牆是指在外部網絡和內部網絡之間設置網絡防火牆。這種防火牆又稱篩選路由器。網絡防火牆檢測進入信息的協議、目的地址、端口(網絡層)及被傳輸的信息形式(應用層)等,濾除不符合規定的外來信息。
防火牆不單用於控制因特網連接,也可以用來在組織網絡內部保護大型機和重要的資源(如數據)。對受保護數據的訪問都必須經過防火牆的過濾,即使網絡內部用戶要訪問受保護的數據,也要經過防火牆。
目前設備中的防火牆主要指以下三種:
- 包過濾防火牆,即基於ACL(Access Control List,訪問控制列表)的包過濾
- 狀態防火牆,即ASPF(Application Specific Packet Filter,基於應用層狀態的包過濾)
- 地址轉換
防火牆相關核心技術:
1、數據包過濾
網絡上的數據都是以包爲單位進行傳輸的,每一個數據包中都會包含一些特定的信息,如數據的源地址、目標地址、源端口號和目標端口號等。防火牆通過讀取數據包中的地址信息來判斷這些包是否來自可信任的網絡,並與預先設定的訪問控制規則進行比較,進而確定是否需對數據包進行處理和操作。數據包過濾可以防止外部不合法用戶對內部網絡的訪問,但由於不能檢測數據包的具體內容,所以不能識別具有非法內容的數據包,無法實施對應用層協議的安全處理。
網絡IP地址轉換是一種將私有IP地址轉化爲公網IP地址的技術,它被廣泛應用於各種類型的網絡和互聯網中。網絡IP地址轉換一方面可隱藏內部網絡的真實IP地址,使內部網絡免受黑客的直接攻擊,另一方面由於內部網絡使用了私有IP地址,從而有效解決了公網IP 地址不足的問題。
虛擬專用網絡將分佈在不同地域上的局域網或計算機通過加密通信,虛擬出專用的傳輸通道,從而將它們從邏輯上連成一個整體,不僅省去了建設專用通信線路的費用,還有效地保證了網絡通信的安全。
應用級網關能夠檢查進出的數據包,通過網關複製傳遞數據,防止在受信任服務器和客戶機與不受信任的主機間直接建立聯繫。應用級網關能夠理解應用層上的協議,能夠做複雜一些的訪問控制,並做精細的註冊和稽覈。它針對特別的網絡應用服務協議即數據過濾協議,並且能夠對數據包分析並形成相關的報告。
防火牆的英文名爲“FireWall”,它是一種最重要的網絡防護設備。從專業角度講,防火牆是位於兩個(或多個)網絡間,實施網絡之間訪問控制的一組組件集合。
典型的防火牆具有以下基本特性。
內部網絡和外部網絡之間的所有網絡數據流都必須經過防火牆。這是防火牆所處網絡位置特性,同時也是一個前提。因爲只有當防火牆是內、外部網絡之間通信的通道,纔可以全面、有效地保護企業網部網絡不受侵害。典型的防火牆體系網絡結構一端連接企事業單位內部的局域網,而另一端則連接着互聯網。所有的內、外部網絡之間的通信都要經過防火牆,只有符合安全策略的數據流才能通過防火牆。
防火牆最基本的功能是確保網絡流量的合法性,並在此前提下將網絡的流量快速的從一條鏈路轉發到另外的鏈路上去。
3、抗攻擊特性
這是防火牆之所以能擔當企業內部網絡安全防護重任的先決條件。它之所以具有這麼強防火牆操作系統本身是關鍵,只有自身具有完整信任關係的操作系統纔可以談論系統的安全性。當然這些安全性也只能說是相對的。思科ccna認證技術之網絡安全基礎入門CCNA 1.0 網絡硬件防火牆技術解析-ielab