二、防火墙
一、防火墙和路由器的对比
- 路由器与交换机本质是转发,防火墙的本质是控制。
防火墙和路由器实现安全控制的区别:
| 防火墙 | 路由器 | |
|---|---|---|
| 背景 | 产生于人们对于安全性的需求 | 基于对网络数据包路由而产生的 |
| 目的 | 保证任何非允许的数据包“不通” | 保证网络和数据的“通” |
| 核心技术 | 基于状态包过滤的应用级信息流过滤 | 路由器核心的ACL列表是基于简单的包过滤 |
| 安全策略 | 默认配置即可防止一些攻击 | 默认配置对安全性的考虑不够周全 |
| 对性能的影响 | 采用的是状态包过滤,规则条数,NAT的规则数对性能的影响较小 | 进行包过滤会对路由器的CPU和内存产生很大的影响 |
| 防攻击能力 | 具有应用层的防范功能 | 普通路由器不具有应用层的防范功能 |
2、为什么需要安全区域?
- 是按接口划分的安全区域。
- 防火墙通过安全区域来划分网络、标识报文流动的“路线”。
默认安全区域:Trust、DMZ和Untrust
防火墙提供Local区域,代表防火墙本身。
3、安全区域、受信任程度与安全级别
| 安全区域 | 安全级别 | 说明 |
|---|---|---|
| Local | 100 | 设备本身,包括设备的各个接口本身 |
| Trust | 85 | 通常用于定义内网终端用户所在区域 |
| DMZ | 50 | 通常用于定义内网服务器所在区域 |
| Untrust | 5 | 通常用于定义Internet等不安全的网络 |
4、安全域间、安全策略与报文流动的方向
- 高安全级别到低安全级别的流量叫Outbound,低安全级别到高安全级别的流量叫Inbound。
5、安全区域配置命令
- 注意:缺省防火墙阻断了一个区域到另一个区域的通信
6、防火墙缺省包过滤
- 如果防火墙域间没有配置安全策略,或者查找安全策略时,所有的安全策略都没有命中,则默认执行域间的缺省包过滤动作(拒绝通过)
7、状态检测和会话机制
- 会话表项中的五元组信息
协议、源地址、源端口、目的地址、目的端口
a、通过会话中的五元组信息可以唯一确定通信双方的一条连接。
b、防火墙将要删除会话的时间称之为老化时间。
c、一条会话表示通信双方的一条连接。多条会话的集合叫做会话表。
浙公网安备 33010602011771号