防火牆五個安全域和三種工作模式
防火牆五個安全域和三種工作模式
目錄
回到頂部
五個安全域:
回到頂部報文從低級別的安全區域向高級別的安全區域流動時為入方向(Inbound),報文從由高級別的安全區域向低級別的安全區域流動時為出方向(Outbound)。
untrust(不信任域):
低階安全區域,安全優先順序為5
通常用來定義Internet等不安全的網路,用於網路入口線的接入。
dmz(隔離區):
中級安全區域,安全優先順序為50
通常用來定義內部伺服器所在網路
作用是把WEB,E-mail,等允許外部訪問的伺服器單獨接在該區埠,使整個需要保護的內部網路接在信任區埠後,不允許任何訪問,實現內外網分離,達到使用者需求。DMZ可以理解為一個不同於外網或內網的特殊網路區域,DMZ內通常放置一些不含機密資訊的公用伺服器,比如Web、Mail、FTP等。這樣來自外網的訪問者可以訪問DMZ中的服務,但不可能接觸到存放在內網中的公司機密或私人資訊等,即使DMZ中伺服器受到破壞,也不會對內網中的機密資訊造成影響。
trust(信任域):
高階級安全區域,安全優先順序為85
通常用來定義內部使用者所在的網路,也可以理解為應該是防護最嚴密的地區。
local(本地):
頂級安全區域,安全優先順序為100
local就是防火牆本身的區域,比如ping指令等網際控制協議的回覆,需要local域的許可權
凡是由防火牆主動發出的報文均可認為是從Local區域中發出
凡是需要防火牆響應並處理(而不是轉發)的報文均可認為是由Local區域接收
management(管理):
頂級安全區域,安全優先順序為100
除了console控制介面對裝置進行配置,如果防火牆裝置可以通過web介面配置的話,需要一根雙絞線連線到管理介面,鍵入使用者名稱和密碼進行配置。
回到頂部三種工作模式
無非就是防火牆各介面是路由模式還是交換模式的差別,三張圖明明白白。
交換模式(二層模式):
路由模式(三層模式):
混合模式:
IDS:
(Intrusion Detection Systems)入侵檢測系統。專業上講就是依照一定的安全策略,對網路、系統的執行狀況進行監視,儘可能發現各種攻擊企圖、攻擊行為或者攻擊結果,以保證網路系統資源的機密性、完整性和可用性。很多情況下安全產品與安全產品之間、安全產品與 網路中的其他部件之間需要通力協作,保證相關的攻擊在源頭就被發現和阻斷,從 而更加有效的保護整個網路的安全。這種通力合作就叫做聯動。
轉載:https://blog.csdn.net/qq_42196196/article/details/83018737