Redian新闻
>
入门 防火墙 基本原理,还是得看这篇!小白一看就懂!

入门 防火墙 基本原理,还是得看这篇!小白一看就懂!

公众号新闻

来自:网络工程师阿龙

防火墙是可信和不可信网络之间的一道屏障,通常用在LAN和WAN之间。它通常放置在转发路径中,目的是让所有数据包都必须由防火墙检查,然后根据策略来决定是丢弃或允许这些数据包通过。例如:



如上图,LAN有一台主机和一台交换机SW1。在右侧,有一台路由器R1连接到运营商的路由器ISP1。防火墙位于两者之间,这样就可以保证LAN的安全。路由器是可选的,主要是取决于所连的WAN。例如,如果您的 ISP 提供电缆,那么您可能有一个带有以太网连接的电缆调制解调器,也可以直接连接到您的防火墙。当它是无线连接时,您可能需要那里的路由器进行连接。如果您需要配置(高级)路由,如 BGP,您就需要路由器。大多数防火墙支持一些基本路由选项:静态路由、默认路由,有时还支持 RIP、OSPF 或 EIGRP 等路由协议。

我们在这里谈论硬件防火墙。还有软件防火墙,例如 Microsoft Windows 预装的防火墙。它具有与我们的硬件防火墙类似的功能。

1、状态过滤

防火墙,如路由器,可以使用访问控制列表来检查源、目地址/端口号。然而,大多数路由器不会在过滤上花太多时间……当它们收到数据包时,就检查数据包的源目信息是否与访问控制列表中的条目匹配,如果匹配,它们会允许或丢弃该数据包。无论他们收到一个数据包还是数千个数据包,每个数据包都会单独处理,不进行跟踪之前是否检查过的数据包,这称为无状态过滤

与之相反的就是,有状态过滤。防火墙会跟踪所有入向和出向的连接。例如:

  • 局域网里有台电脑,作为邮箱客户端,通过互联网去访问邮箱服务器,邮箱客户端起初会进行TCP三次握手,经过防火墙,就知道它们的源目信息,防火墙会跟踪这些信息,当邮箱服务器要进行响应客户端的请求时,防火墙就会自动允许这部分的流量通过防火墙,最终到达客户端。

  • 一个 Web 服务器位于防火墙后面,它是一个繁忙的服务器,平均每秒从不同的 IP 地址接受 20 个新的 TCP 连接。防火墙会跟踪所有连接,一旦发现每秒请求超过 10 个新 TCP 连接的源 IP 地址,它将丢弃来自该源 IP 地址的所有流量,防止 DoS(拒绝服务)。

2、数据包检测

大多数防火墙支持进行数据包(深度)检查。简单的访问控制列表仅能检查源、目标地址/端口,即 OSI 模型的第 3 层和第 4 层。数据包深度检查意味着防火墙可以检查 OSI 模型的第 7 层。这就意味着防火墙查看应用程序数据甚至负载:

上面你看到网络(IP)和传输层(TCP)被标记为红色,应用层被标记为绿色。这个示例是来自捕获web浏览器请求页面的数据包。

3、安全区

默认情况下,Cisco 路由器将允许并转发它们收到的所有数据包,前提是需要匹配它们的路由表中的路由。如果你想进行限制,你必须配置一些ACL。如果设备有很多接口或很多条ACL需要配置,这会成为网工的噩梦。这是一个例子:



上面的路由器有两个入站方向ACL来阻止来自主机的一些流量。此外,还有两个ACL,来防止来自 Internet 的流量进入我们的网络。我们还可以复用一些ACL,但记得将ACL应用到四个接口。

接下来有个更好的解决方案,防火墙可以结合安全区域来工作。这是一个例子:

上面我们有两个安全区域:

  • inside:这是LAN区域。

  • outside:这是WAN区域        接口已分配到正确的安全区域。这些区域有两个简单的规则:

  • 允许从“高”安全级域到“低”安全级别的流量。

  • 拒绝从“低”安全级别到“高”安全级别的流量。

LAN是我们信任的网络,所以具有很高的安全级别。WAN 不受信任,因此它的安全级别较低。这意味着来自从LAN去往WAN的流量将被允许。从 WAN 到 LAN 的流量将被拒绝。由于防火墙是有状态的,它会跟踪传出连接并允许其返回的流量。

如果您想例外,也可以允许从 WAN 到 LAN 的流量,这就需要通过访问控制列表来完成了。

大多数公司将拥有一台或多台服务器,这些服务器大部分是需要从 Internet来访问。如邮件服务器。为了安全,我们没有将它们放在内部(LAN),而是放在称为DMZ(非军事区)的第三个区域。看看下面的图片:

DMZ 安全区域的安全级别介于 INSIDE 和 OUTSIDE 之间。这意味着:

  • 允许从 INSIDE 到 OUTSIDE 的流量。

  • 允许从 INSIDE 到 DMZ 的流量。

  • 允许从 DMZ 到 OUTSIDE 的流量。

  • 从 DMZ 到 INSIDE 的流量被拒绝。

  • 从外部到 DMZ 的流量被拒绝。

  • 从外部到内部的流量被拒绝。

为确保来自 OUTSIDE 的流量能够到达 DMZ 中的服务器,我们将使用一个访问列表,该列表只允许流量流向 DMZ 中服务器使用的 IP 地址(和端口号)。此设置非常安全,如果您在 DMZ 中的其中一台服务器遭到黑客攻击,您的 INSIDE 网络仍然是安全的。

4、总结

您现在已经了解了防火墙的基础知识。防火墙使用状态过滤来跟踪所有入站和出站连接。他们还能够(主要看防火墙型号)检查 OSI 模型的第 7 层、应用程序的有效负载。

防火墙还使用安全区域,允许来自高安全级别的流量进入较低安全级别从低安全级别到高安全级别的流量将被拒绝,可以使用访问控制列表进行特例处理。

END

官方站点:www.linuxprobe.com

Linux命令大全:www.linuxcool.com

刘遄老师QQ:5604241

Linux技术交流群:3762708

(新群,火热加群中……)

想要学习Linux系统的读者可以点击"阅读原文"按钮来了解书籍《Linux就该这么学》,同时也非常适合专业的运维人员阅读,成为辅助您工作的高价值工具书!


微信扫码关注该文公众号作者

戳这里提交新闻线索和高质量文章给我们。
相关阅读
剪头发前一定要看这篇!满分年货指南!和平饭店招牌涮肉卷,微热山丘新年礼盒,兔年限定萌物就看这篇!圣诞将至,这3款美食让你刷爆朋友圈,简单易学,一看就会讲真的,还是得做好一年内随时零收入的准备!看看我买了啥好东西?英国消费踩大坑别忍着!维权看这篇!情人节还只会送Godiva?纽约女孩的心思不要猜,看这篇就懂。干货!Linux 防火墙配置 ( iptables 和 firewalld )不用消费降级也能省钱,看这篇!两会评论 | 网络时代人格权司法保护要加固“防火墙”不会用 Linux 防火墙软件 IPtables!你算啥运维人一看就是有钱人!!!背这几款包的人,肯定超有钱!明日直播预告| 等了N久,春季美鞋,还是得看它家!男子因父亲未尽抚养义务而拒绝赡养,法院:无因果关系,还是得养优秀创业者应该遵循的6项“基本原则”假睫毛的保姆级攻略!怎么选、怎么贴,看这篇!节后吃瘦计划看这篇!6 家私藏清爽外卖,收!厉害!小学生数学重点难点填坑指南,看个漫画就懂,孩子还对它爱不释手…杨幂大尺度「水蛇腰」意外曝光!热辣惹火,男朋友一看就有反应?!你一看就是个水货...,这都不会!比打卡景点恣意,比吃遍美食畅快,最“低成本”的快乐,还得看这些周末新奇玩法!为文学城男博主们画像寒假预复习、新学期的教辅,还是得学而思!每天都有$1万刀头奖!加拿大Tim Hortons抽奖活动3月回归!23年新增规则奖项快看这篇!下场直播预告 | 高阶感、松弛感、氛围感还是得看真丝!它太会了!老年三福与笑的哲学---柳无忌告老心言张一鸣撞上美国防火墙2022年多伦多的圣诞下午茶地图,就看这篇!习近平非常聪明,中国放开正当时在美国如何将你的企业做大做强?必看这篇!更有新春重磅福利等你来拿!北大博士李松蔚:什么样的家庭,一看就能养出自信的孩子?日本啊,日本(八)苏州园林在湾区如何办一场嗨到爆的完美婚礼?刷完这篇就懂了!别再用「沐浴露」了!!拯救冬季干燥起皮,还是得靠它,真香!!揭秘﹗安省迎来医疗史上最大逆袭﹗巨款何去何从?只看这篇就懂了﹗
logo
联系我们隐私协议©2024 redian.news
Redian新闻
Redian.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Redian.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。