我们这里说的防火墙(Firewall)是一种网络设备,它在网络中起到两个最基本的功能:划分网络的边界、加固内网的安全 。
— 划分网络的边界 —
防火墙设备的其中一个功能,就是划分网络的边界,严格地将网络分为“外网”和“内网” 。
“外网”则是防火墙认为的——不安全的网络,不受信任的网络;“内网”则是防火墙认为的——安全的网络,受信任的网络 。
— 加固网络的安全 —
防火墙的其中一个功能,就是网络流量流向的问题(内到外可以访问,外到内默认不能访问),这就从一定程度上加强了网络的安全性,那就是:“内网属于私有环境,外人非请莫入!”
另外,防火墙还能从另外一些方面来加固内部网络的安全:
1:隐藏内部的网络拓扑
这种情况用于互联网防火墙 。因为内网一般都会使用私有IP地址,而互联网是Internet的IP地址 。
由于在IPv4环境下IP地址不足,内部使用大量的私有地址,转换到外部少量的Internet地址,这样的话,外部网络就不会了解到内部网络的路由,也就没法了解到内部网络的拓扑了 。
同时,防火墙上还会使用NAT技术,将内部的服务器映射到外部,所以从外部访问服务器的时候只能了解到映射后的外部地址,根本不会了解到映射前的内部地址 。
文章插图
2:带有安全检测防御
这种功能并不是每一款防火墙都有 。
安全检测系统(简称“IDS”)是一种对网络传输进行即时监视,在发现可疑传输时发出警报或者采取主动反应措施的网络安全设备 。
它与其他网络安全设备的不同之处便在于,IDS是一种积极主动的安全防护技术 。
3:会话日志功能
防火墙都有“会话记录”功能,每一个数据包在经过防火墙之后,都可以在防火墙的会话表中查询到历史访问记录 。
如果是外部主机访问内部呢?当然,在你的内部网络遭受不安全以后,可以在防火墙上查到从外到内,到底是哪个IP地址非法闯入了 。
— 防火墙在企业环境的应用 —
1:互联网出口设备
这估计是大家最能想到的一种用途吧 。
因为Internet就是一个最典型的“外网”,当企业网络接入Internet的时候,为了保证内部网络不受来自外部的威胁侵害,就会在互联网出口的位置部署防火墙 。
文章插图
2:分支机构接骨干网作边界设备
在电力行业、金融行业等大型跨地,跨省的企业时,为了企业中各个省级、地市级单位的内部数据通信通常都会自建一张骨干网络 。
每个省级、地市级单位办公网络接入骨干网时,就可以在网络接入点部署防火墙,进一步提高每个单位的办公网络安全性 。
文章插图
3:数据中心内保护服务器
数据中心(DataCenter)是为企业存放重要数据资料的,同时数据中心内会放置各种各样功能不一的服务器 。
想要保证数据的安全,首先就要保证这些服务器的安全 。物理上的安全嘛,你就防火防水防贼呗,应用上的安全,找杀毒软件嘛;但是在网络上防止,防止非授权人员操作服务器,就需要到防火墙来发挥作用了 。
一般在传统的数据中心内,会根据不同的功能来决定服务器的分区,然后在每个分区和核心设备的连接处部署防火墙 。
— 防火墙并不普适 —
不是任何场合都适合部署防火墙 。
谁都知道安全性和方便性有时候会有那么一些冲突 。防火墙作为一种网络安全设备,部署在网络中会对穿过防火墙的数据包进行拦截,然后确定它符合策略要求以后才会放行 。这会对网络传输效率造成一定影响 。
所以防火墙一般用于数据中心,大型企业总部,国有企业省级、地区级办公机构,带有服务器区域的网络环境或机密性较高的单位 。
— 防火墙的分类 —
防火墙按照功能和级别的不同,一般分类这么三类:包过滤型防火墙、状态检测型防火墙、代理型防火墙 。
1:包过滤型防火墙
这种防火墙只能实现最基础的包过滤功能,按照既定的访问控制列表对数据包的三、四层信息进行控制,详细一点就是:
三层信息:源IP地址,目标IP地址四层信息:源端口,目标端口
推荐阅读
- IaaS、PaaS、SaaS三种云服务模式,你了解多少?
- 大白话告诉你Hadoop架构原理
- 你听过最温暖的话是什么 你听过最暖心的一句话
- 茶事人事
- 人民币|数字人民币试点地区再增11城:方便了 快看有你家吗?
- 和维他柠檬茶起,要来就来真的
- 春茶盛宴 教你5种茶膳轻松DIY
- 饵料|你们是怎么发现身边的钓友是新手的?
- 弄懂“有氧”与“无氧”,就能解决你70%的运动问题
- 6种运动帮助你调理月经
