文章插图
一、 初识网络防火墙1.1、防火墙的基本功能我们这里说的防火墙(Firewall)是一种网络设备,它在网络中起到两个最基本的功能:
· 划分网络的边界
· 加固内网的安全
**划分网络的边界**防火墙设备的其中一个功能,就是划分网络的边界,严格地将网络分为"外网"和"内网" 。"外网"则是防火墙认为的——不安全的网络,不受信任的网络"内网"则是防火墙认为的——安全的网络,受信任的网络你可以这么打一个比喻:如果把网络比作一个城市,那么"内网"就是你的小区内部,"外网"就是城市道路小区的围墙就相当于是防火墙,起到了一个隔离"内部环境"和"外部环境"的功能
文章插图
并且呢,任何一个防火墙设备,在设计上就会强制把"内部"和"外部"的概念 。应用在接口上从内部访问外部默认情况下是允许的,但是从外部访问内部默认情况下是禁止的(需要设置相关策略才能从外部到内部访问 。)这种情况就像你到任何一个小区或者单位,你从里面出来的时候门卫一般不管你,但是如果想从外面进去,那可就不是那么回事了哦 。
文章插图
文章插图
**加固网络的安全**刚才说到了防火墙的其中一个功能,就是网络流量流向的问题(内到外可以访问,外到内默认不能访问),这就从一定程度上加强了网络的安全性,那就是:"内网属于私有环境,外人非请莫入!"另外,防火墙还能从另外一些方面来加固内部网络的安全**1、隐藏内部的网络拓扑**这种情况用于互联网防火墙 。因为内网一般都会使用私有IP地址,而互联网是Internet的IP地址 。由于在IPv4环境下IP地址不足,内部使用大量的私有地址,转换到外部少量的Internet地址,这样的话,外部网络就不会了解到内部网络的路由,也就没法了解到内部网络的拓扑了 。同时,防火墙上还会使用NAT技术,将内部的服务器映射到外部,所以从外部访问服务器的时候只能了解到映射后的外部地址,根本不会了解到映射前的内部地址 。
文章插图
**2、带有安全检测防御**这种功能并不是每一款防火墙都有安全检测系统(intrusion detection system,简称"IDS")是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备 。它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术 。 **3、会话日志功能**防火墙都有"会话记录"功能,每一个数据包在经过防火墙之后,都可以在防火墙的会话表中查询到历史访问记录 。比如10.112.100.101的主机在访问外部网络的时候,只要它访问成功,都会被防火墙所记录下来 。如果是外部主机访问内部呢?当然,在你的内部网络遭受不安全以后,可以在防火墙上查到从外到内,到底是哪个IP地址非法闯入了 。如果确实有外部非法闯入内部的访问,也可以追查防火墙的安全策略设置,看看哪一条安全策略的设置有问题 。虽然这看起来是一种"亡羊补牢"的做法,但是能查到危害源,总比你什么都查不到要好啊 。1.2、防火墙在企业环境的应用1、互连网出口设备这估计是大家最能想到的一种用途吧 。因为Internet就是一个最典型的"外网",当企业网络接入Internet的时候,为了保证内部网络不受来自外部的威胁侵害,就会在互联网出口的位置部署防火墙 。
文章插图
2、分支机构接骨干网作边界设备在电力行业、金融行业等大型跨地,跨省的企业时,为了企业中各个省级、地市级单位的内部数据通信通常都会自建一张骨干网络 。在每个省级、地市级单位办公网络接入骨干网时,就可以在网络接入点部署防火墙,进一步提高每个单位的办公网络安全性 。
文章插图
3、数据中心内保护服务器数据中心(DataCenter)是为企业存放重要数据资料的,同时数据中心内会放置各种各样功能不一的服务器 。想要保证数据的安全,首先就要保证这些服务器的安全 。物理上的安全嘛,你就防火防水防贼呗,应用上的安全,找杀毒软件嘛;但是在网络上防止,防止非授权人员操作服务器,就需要到防火墙来发挥作用了 。一般在传统的数据中心内,会根据不同的功能来决定服务器的分区,然后在每个分区和核心设备的连接处部署防火墙 。
推荐阅读
- 正山小种价格多少 决定正山小种价格的因素有哪些
- 正山小种红茶价格 正山小种多少钱斤
- 好的云南滇红茶贵不贵 滇红茶的价格多少钱斤
- 云南滇红茶多少钱一斤? 滇红茶的选购方法
- 茅山青峰茶价格茅山青峰茶多少钱一斤?
- 安吉白茶价格 安吉白茶多少钱一斤?
- 正版暴力熊有哪些款式,暴力熊有多少种
- 金芽 金丝 古树 松针滇红红茶价格分别是多少钱斤
- 绝对零度是什么意思 绝对零度是多少度
- 百年荔枝树头要多少钱一个 一百年荔枝树值多少钱