设置防火墙的步骤: 1.设置区域 2.设置区域默认策略 3.写策略
=============================================== 1.防火墙的定义: 1)隔离网络:将需要保护的网络与不可信任网络进行隔离,隐藏信息并进行安全防护 2)控制流量:对进出防火墙的数据流进行限制 3)记录分析:对进出数据进行检查,记录相关信息
2.防火墙的基本功能 1)访问控制 2)攻击防护 3)冗余设计 4)NAT 5)日志记录 6)路由、交换 7)虚拟专网VPN
3.防火墙区域概念: 1)内部区域 2)DMZ区域:称为“隔离区”,也称“*化区/停火区” 3)外部区域
4.防火墙分类 1)包过滤防火墙:最早的防火墙之一,功能简单,配置复杂 -1、也叫分组过滤防火墙(Packet Filtering) -2、根据分组包的源、目的地址,端口号及协议类型、标志位确定是否允许分组包通过。 所根据的信息来源于IP、ICMP、TCP或UDP等协议的数据包头(Packet Header) -3、优点:高效、透明 缺点:对管理员要求高、处理信息能力有限
2)应用代理防火墙:最早的防火墙技术之二,连接效率低,速度慢 -1、也叫应用网关型防火墙 -2、每个代理需要一个不同应用进程,或一个后台运行的服务程序,对每个新的应用必须 添加针对此应用的服务程序,否则不能使用该服务 -3、优点:安全性高,检测内容 缺点:连接性能差、可伸缩性差
3)状态检测防火墙:现代主流防火墙,速度快,配置方便,功能较多 -1、状态检测防火墙 -2、从传统包过滤发展而来,除了包过滤检测的特性外,以网络连接设置状态特性加以检测 -3、优点:(1)减少检查工程量,提高效率;(2)连接状态可以简化规则的设置 缺点:对应用层检测不够深入
4)应用层防火墙:未来防火墙的发展方向,能够高速的对第七层数据进行检测
5.衡量防火墙性能的5大指标 1)吞吐量:在不丢包的情况下单位时间内通过数据包数量 2)时延:数据包第一个比特进入防火墙到最后一个比特从防火墙输出的时间间隔 3)丢包率:通过防火墙传送时所丢失数据包数量占所发送听数据包的比率 4)并发连接数:防火墙能够同时处理点对点连接最大数目 5)新建连接数:在不丢包的访问下每秒可以建立的最大连接数
6.防火墙的典型应用 1)标准应用 -1、透明模式 -2、路由模式 -3、混杂模式
7.标准应用 -- 透明模式 透明模式/桥模式一般用于用户网络已经建设完毕,网络功能基本已经实现的情况下, 用户需要加装防火墙以实现安全区域隔离的要求 一般将网络分为内部网、DMZ区和外部网
8.标准应用 -- 路由/NAT模式 路由/NAT模式一般用于防火墙当作路由器和NAT设备连接上网的同时,提供安全过滤功能。 一般将网络分为内部网、DMZ区和外部网
9.标准应用 -- 混杂模式 一般网络情况为透明模式和路由模式的混合。 |