保定網(wǎng)站制作推廣公司網(wǎng)絡(luò)推廣合作協(xié)議
防火墻分類:

?包過濾防火墻:
?應(yīng)用代理防火墻:
?狀態(tài)檢測(cè)防火墻:
?IDS:
IPS:?
?web應(yīng)用防火墻:
?UTM:
?
下一代防火墻:

?
防火墻的控制
帶內(nèi)管理 --- 通過網(wǎng)絡(luò)環(huán)境對(duì)設(shè)備進(jìn)行控制 --- telnet,ssh,web --- 登錄設(shè)備和被登
錄設(shè)備之間網(wǎng)絡(luò)需要聯(lián)通
防火墻的管理員
認(rèn)證:?
本地認(rèn)證 --- 用戶信息存儲(chǔ)在防火墻上,登錄時(shí),防火墻根據(jù)輸入的用戶名和密碼進(jìn)行
判斷,如果通過驗(yàn)證,則成功登錄。
服務(wù)器認(rèn)證 --- 和第三方的認(rèn)證服務(wù)器對(duì)接,登錄時(shí),防火墻將登錄信息發(fā)送給第三方服務(wù)器,之后由第三方服務(wù)器來進(jìn)行驗(yàn)證,通過則反饋給防火墻,防火墻放行。一般適用于企業(yè)本身使用第三方服務(wù)器來存儲(chǔ)用戶信息,則用戶信息不需要重復(fù)創(chuàng)建。
服務(wù)器/本地認(rèn)證 --- 優(yōu)先使用服務(wù)器認(rèn)證,如果服務(wù)器認(rèn)證失敗,則也不進(jìn)行本地認(rèn)
證。只有在服務(wù)器對(duì)接不上的時(shí)候,采用本地認(rèn)證
安全區(qū)域
Trust --- 一般企業(yè)內(nèi)網(wǎng)會(huì)被規(guī)劃在trust區(qū)域中
Untrust --- 一般公網(wǎng)區(qū)域被規(guī)劃在untrust區(qū)域中
我們將一個(gè)接口規(guī)劃到某一個(gè)區(qū)域,則代表該接口所連接的所有網(wǎng)絡(luò)都被規(guī)劃到該區(qū)
域。
Local --- 指設(shè)備本身。凡是由設(shè)備構(gòu)造并主動(dòng)發(fā)出的報(bào)文均可以認(rèn)為是從local區(qū)域發(fā)出的,
凡是需要設(shè)備響應(yīng)并處理的報(bào)文均可以認(rèn)為是由Local區(qū)接受。我們無法修改local區(qū)的配置,
并且我們無法將接口劃入該區(qū)域。接口本身屬于該區(qū)域。
Dmz --- 非軍事化管理區(qū)域 --- 這個(gè)區(qū)域主要是為內(nèi)網(wǎng)的服務(wù)器所設(shè)定的區(qū)域。這些服務(wù)器本
身在內(nèi)網(wǎng),但是需要對(duì)外提供服務(wù)。他們相當(dāng)于處于內(nèi)網(wǎng)和外網(wǎng)之間的區(qū)域。所以,這個(gè)區(qū)域
就代表是嚴(yán)格管理和松散管理區(qū)域之間的部分管理區(qū)域。
安全策略
傳統(tǒng)的包過濾防火墻 --- 其本質(zhì)為ACL列表,根據(jù) 數(shù)據(jù)報(bào)中的特征 進(jìn)行過濾,之后對(duì)比規(guī)制,
執(zhí)行動(dòng)作。
五元組 --- 源IP,目標(biāo)IP,源端口,目標(biāo)端口,協(xié)議
安全策略 --- 相較于ACL的改進(jìn)之處在于,首先,可以在更細(xì)的顆粒度下匹配流量,另一方面
是可以完成 內(nèi)容安全 的檢測(cè)。
1,訪問控制(允許和拒絕)
2,內(nèi)容檢測(cè) --- 如果允許通過,則可以進(jìn)行內(nèi)容檢測(cè)
防火墻的狀態(tài)檢測(cè)和會(huì)話表
基于流的流量檢測(cè) --- 即設(shè)備僅對(duì)流量的第一個(gè)數(shù)據(jù)包進(jìn)行過濾,并將結(jié)果作為這一條數(shù)據(jù)流
的“特征”記錄下來(記錄在本地的 “會(huì)話表” ),之后,該數(shù)據(jù)流后續(xù)的報(bào)文都將基于這個(gè)
特征來進(jìn)行轉(zhuǎn)發(fā),而不再去匹配安全策略。這樣做的目的是為了提高轉(zhuǎn)發(fā)效率。
防火墻的用戶認(rèn)證
防火墻管理員登錄認(rèn)證 --- 檢驗(yàn)身份的合法性,劃分身份權(quán)限
用戶認(rèn)證 --- 上網(wǎng)行為管理的一部分,用戶,行為,流量 --- 上網(wǎng)行為管理三要素
用戶認(rèn)證的分類:
上網(wǎng)用戶認(rèn)證 --- 三層認(rèn)證 --- 所有的跨網(wǎng)段的通信都可以屬于上網(wǎng)行為。針對(duì)這些行
為,我們希望將行為和產(chǎn)生行為的人進(jìn)行綁定,所以,需要進(jìn)行上網(wǎng)用戶認(rèn)證。
入網(wǎng)用戶認(rèn)證 --- 二層認(rèn)證 --- 我們的設(shè)備在接入網(wǎng)絡(luò)中,比如插入交換機(jī)或者接入wifi
后,需要進(jìn)行認(rèn)證才能正常使用網(wǎng)絡(luò)。
接入用戶認(rèn)證 --- 遠(yuǎn)程接入 --- VPN --- 主要是校驗(yàn)身份的合法性的
認(rèn)證方式:
本地認(rèn)證 --- 用戶信息在防火墻上,整個(gè)認(rèn)證過程都在防火墻上執(zhí)行
服務(wù)器認(rèn)證 --- 對(duì)接第三方服務(wù)器,防火墻將用戶信息傳遞給服務(wù)器,之后,服務(wù)器將認(rèn)證結(jié)果返回,防火墻執(zhí)行對(duì)應(yīng)的動(dòng)作即可
單點(diǎn)登錄 --- 和第三方服務(wù)器認(rèn)證類似。
防火墻的NAT
靜態(tài)NAT --- 一對(duì)一
動(dòng)態(tài)NAT --- 多對(duì)多
NAPT --- 一對(duì)多的NAPT --- easy ip
--- 多對(duì)多的NAPT
服務(wù)器映射
源NAT --- 基于源IP地址進(jìn)行轉(zhuǎn)換。我們之前接觸過的靜態(tài)NAT,動(dòng)態(tài)NAT,NAPT都屬于源
NAT,都是針對(duì)源IP地址進(jìn)行轉(zhuǎn)換的。源NAT主要目的是為了保證內(nèi)網(wǎng)用戶可以訪問公網(wǎng)
目標(biāo)NAT --- 基于目標(biāo)IP地址進(jìn)行轉(zhuǎn)換。我們之前接觸過的服務(wù)器映射就屬于目標(biāo)NAT。是為
了保證公網(wǎng)用戶可以訪問內(nèi)部的服務(wù)器。
雙向NAT --- 同時(shí)轉(zhuǎn)換源IP和目標(biāo)IP地址
配置黑洞路由 --- 黑洞路由即空接口路由,在NAT地址池中的地址,建議配置達(dá)到這個(gè)地址指
向空接口的路由,不然,在特定環(huán)境下會(huì)出現(xiàn)環(huán)路。(主要針對(duì)地址池中的地址和出接口地址
不再同一個(gè)網(wǎng)段中的場(chǎng)景。)
NAT類型
五元組NAT --- 針對(duì)源IP,目標(biāo)IP,源端口,目標(biāo)端口,協(xié)議 這五個(gè)參數(shù)識(shí)別出
的數(shù)據(jù)流進(jìn)行端口轉(zhuǎn)換
三元組NAT --- 針源IP,源端口,協(xié)議 三個(gè)參數(shù)識(shí)別出的數(shù)據(jù)流進(jìn)行端口轉(zhuǎn)換
動(dòng)態(tài)NAT創(chuàng)建完后,觸發(fā)訪問流量后會(huì)同時(shí)生成兩條server-map的記錄,其中一條是反向記
錄。反向記錄小時(shí)前,相當(dāng)于是一條靜態(tài)NAT記錄,外網(wǎng)的任意地址,在安全策略放通的情況
下,是可以訪問到內(nèi)網(wǎng)的設(shè)備。
基于端口的NAT轉(zhuǎn)換,是不會(huì)生成server-map表的。
?
多出口NAT
源NAT
第一種:根據(jù)出接口,創(chuàng)建多個(gè)不同的安全區(qū)域,再根據(jù)安全區(qū)域來做NAT
第二種:出去還是一個(gè)區(qū)域,選擇出接口來進(jìn)行轉(zhuǎn)換
目標(biāo)NAT
第一種:也可以分兩個(gè)不同的區(qū)域做服務(wù)器映射
第二種:可以只設(shè)置一個(gè)區(qū)域,但是要注意,需要寫兩條策略分別正對(duì)兩個(gè)接口的地址
池,并且,不能同時(shí)勾選允許服務(wù)器上網(wǎng),否則會(huì)造成地址沖突。
防火墻的智能選路
智能選路 --- 全局路由策略
?
基于鏈路質(zhì)量進(jìn)行負(fù)載分擔(dān)
基于鏈路權(quán)重進(jìn)行負(fù)載分擔(dān)
?
基于鏈路優(yōu)先級(jí)的主備備份
?
?防火墻的可靠性
?