这是我在学习过程中所学到的,并查看其它资料按自己的理解写下来的。如果帮到你的话,记得点个赞
“防火墙”是指一种将内部网和公众访问网(如Internet)分开的方法,它实际上是一种建立在现代通信网络技术和信息安全技术基础上的应用性安全技术,隔离技术。越来越多地应用于专用网络与公用网络的互联环境之中,尤其以接入Internet网络最为广泛使用。
防火墙经常工作在两个不同的网络区域间,并起着监控网络,隔离网络内部区域(对外部屏蔽网络内部的信息,结构和运行情况),生成日志,隔离病毒,分析应用程序网络行为等作用。
防火墙通常位于企业网络的边缘,这使得内部网络与Internet或者其他外部网络互相隔离,并制定策略限制网络访问从而达到企业内部网络。设置防火墙的目的是为了在内部网和外部网之间设立唯一的通道,简化网络的安全管理。
一:防火墙的基本类型
- 包过滤型防火墙:通过访问控制表,检查数据流中每个数据包的源地址、目的地址,所用的端口号、协议状态等因素,来确定是否允许该数据包通过。
- 应用网关防火墙:它工作在OSI模型的应用层,能针对特定的网络应用协议制定数据过滤规则。通过软件程序来传送和过滤Telnet和FIP这类网络服务,这类软件通常安装在专用工作站系统上,运行该程序的主机叫应用网关。这种技术参与到一个TCP连接的全过程,在应用层建立协议过滤和转发功能,故叫应用层网关。
- 代理服务器防火墙:它工作在OSI模型的应用层,主要使用代理技术来阻断内部网络和外部网络之间的通信,达到隐藏内部网络的目的。(相当于一个中介来担当中间人,负责传递信息,而两者不互相见面,也就不了解真实情况)
- 状态监测防火墙:它也被称作自适应防火墙或动态包过滤防火墙。这种防火墙能通过状态检测技术动态记录、维护各个连接的协议状态,并且在网络层和IP之间插入一个检测模块,对IP包的信息进行拆分检测(比如IP包中的协议,源地址)来对比先前制定的策略,以确定是否允许通过。
- 自适应代理防火墙:它可根据用户的安全策略,动态适应传输中的分组流量(比如优先级和安全级来确定流量),它整合了动态包过滤防火墙技术和应用代理技术,本质上说是状态监测防火墙。
二:防火墙的物理特性
防火墙通常至少有三个接口,会产生至少3个网络。
- 内部区域 内部区域(内网)通常是指企业内部网络或者企业内部网络的一部分,是互联网的信任区域,被防火墙保护和隐藏的区域。
- 外部区域 外部区域(外网)通常指Internet或者非企业内部网络。它是互联网中不被信任的区域,被事先设定的策略所限制,当外部区域想要访问内部区域的主机和服务时,防火墙可以实现有效的拦截和通过。
- 非军事区 非军事区(DMZ)是一个隔离的网络或多个网络。位于非军事区中的主机或服务器被称为堡垒主机。一般在非军事区中可以放置Web服务器和Mail服务器等。非军事区对于外部用户通常是可以访问的,这种方式允许外部用户访问企业的公开信息,但却不允许访问内部网络,介于外部网络和内部网络之间。(相当于门卫,想进去不行,得有通行证,看看外面可以,进去就得内部人员了)
三:防火墙的管理模式
- 非特权模式 PIX防火墙开机自检后,就是处于非特权模式。此时系统显示为pixfirewall>.
- 特权模式 输入enable进入特权模式,可以改变当前的配置。此时系统显示为pixfirewall#.
- 配置模式 输入configure terminal 进入配置模式,大部分的系统配置都可以在这个模式下进行。此时系统显示为pixfirewall(config)#.
- 监视模式 PIX防火墙在开机或重启过程中,按Escape键或者发送‘Break’字符,便可以进入监视模式,在这个模式下可以更新操作系统映像和口令恢复。此时系统显示为monitor>.