這是我在學習過程中所學到的,並查看其它資料按自己的理解寫下來的。如果幫到你的話,記得點個贊
“防火牆”是指一種將內部網和公衆訪問網(如Internet)分開的方法,它實際上是一種建立在現代通信網絡技術和信息安全技術基礎上的應用性安全技術,隔離技術。越來越多地應用於專用網絡與公用網絡的互聯環境之中,尤其以接入Internet網絡最爲廣泛使用。
防火牆經常工作在兩個不同的網絡區域間,並起着監控網絡,隔離網絡內部區域(對外部屏蔽網絡內部的信息,結構和運行情況),生成日誌,隔離病毒,分析應用程序網絡行爲等作用。
防火牆通常位於企業網絡的邊緣,這使得內部網絡與Internet或者其他外部網絡互相隔離,並制定策略限制網絡訪問從而達到企業內部網絡。設置防火牆的目的是爲了在內部網和外部網之間設立唯一的通道,簡化網絡的安全管理。
一:防火牆的基本類型
- 包過濾型防火牆:通過訪問控制表,檢查數據流中每個數據包的源地址、目的地址,所用的端口號、協議狀態等因素,來確定是否允許該數據包通過。
- 應用網關防火牆:它工作在OSI模型的應用層,能針對特定的網絡應用協議制定數據過濾規則。通過軟件程序來傳送和過濾Telnet和FIP這類網絡服務,這類軟件通常安裝在專用工作站系統上,運行該程序的主機叫應用網關。這種技術參與到一個TCP連接的全過程,在應用層建立協議過濾和轉發功能,故叫應用層網關。
- 代理服務器防火牆:它工作在OSI模型的應用層,主要使用代理技術來阻斷內部網絡和外部網絡之間的通信,達到隱藏內部網絡的目的。(相當於一箇中介來擔當中間人,負責傳遞信息,而兩者不互相見面,也就不瞭解真實情況)
- 狀態監測防火牆:它也被稱作自適應防火牆或動態包過濾防火牆。這種防火牆能通過狀態檢測技術動態記錄、維護各個連接的協議狀態,並且在網絡層和IP之間插入一個檢測模塊,對IP包的信息進行拆分檢測(比如IP包中的協議,源地址)來對比先前制定的策略,以確定是否允許通過。
- 自適應代理防火牆:它可根據用戶的安全策略,動態適應傳輸中的分組流量(比如優先級和安全級來確定流量),它整合了動態包過濾防火牆技術和應用代理技術,本質上說是狀態監測防火牆。
二:防火牆的物理特性
防火牆通常至少有三個接口,會產生至少3個網絡。
- 內部區域 內部區域(內網)通常是指企業內部網絡或者企業內部網絡的一部分,是互聯網的信任區域,被防火牆保護和隱藏的區域。
- 外部區域 外部區域(外網)通常指Internet或者非企業內部網絡。它是互聯網中不被信任的區域,被事先設定的策略所限制,當外部區域想要訪問內部區域的主機和服務時,防火牆可以實現有效的攔截和通過。
- 非軍事區 非軍事區(DMZ)是一個隔離的網絡或多個網絡。位於非軍事區中的主機或服務器被稱爲堡壘主機。一般在非軍事區中可以放置Web服務器和Mail服務器等。非軍事區對於外部用戶通常是可以訪問的,這種方式允許外部用戶訪問企業的公開信息,但卻不允許訪問內部網絡,介於外部網絡和內部網絡之間。(相當於門衛,想進去不行,得有通行證,看看外面可以,進去就得內部人員了)
三:防火牆的管理模式
- 非特權模式 PIX防火牆開機自檢後,就是處於非特權模式。此時系統顯示爲pixfirewall>.
- 特權模式 輸入enable進入特權模式,可以改變當前的配置。此時系統顯示爲pixfirewall#.
- 配置模式 輸入configure terminal 進入配置模式,大部分的系統配置都可以在這個模式下進行。此時系統顯示爲pixfirewall(config)#.
- 監視模式 PIX防火牆在開機或重啓過程中,按Escape鍵或者發送‘Break’字符,便可以進入監視模式,在這個模式下可以更新操作系統映像和口令恢復。此時系統顯示爲monitor>.