2. 程式人生 > >不要把防火牆當做一堵“牆”,防火牆有哪些成長曆程,一看便知

不要把防火牆當做一堵“牆”,防火牆有哪些成長曆程,一看便知

阿新 發佈:2018-12-31

1、作用:隔離內外網,防止外部網路的入侵。
2、發展過程:
在這裡插入圖片描述
第一代:包過濾防火牆(欺騙類攻擊無法防止、無法防禦拒絕訪問攻擊DOS、採用逐包匹配效率低下)
①NAT+ACL版本防火牆
在這裡插入圖片描述
如圖所示:R0上做了G0/0->G0/1方向的NAT,此時左邊可以訪問右邊的外網server1;在這裡插入圖片描述
在知道對端網路部署的情況下,當server1沒有工作時,PC1可以構造一個包很容易的就穿過了NAT+ACL;原理:NAT穿越時會有一個轉換表(記錄了IP地址的轉換和內外埠號的轉換)。

②ACL+TCP{ACK+RST(釋放連結)} Eatablished ACL
檢視tcp flag欄位是否有ACK或RST,這個機制的意思是隻有別人觸發了你的ACK或RST回報時才可以放行。
在這裡插入圖片描述


缺點:當大量的向伺服器傳送ACK+RST,導致伺服器無法正常工作;
只能用於TCP協議,UDP,CIMP等無法實現。
③自反ACL:
原理:當配置正常ACL時如果流量出去,就會在進來的介面上生成一個與其相反的ACL對進來的路由進行過濾。(只有出去了才會讓其進來)
在這裡插入圖片描述
缺點:逐包匹配,如果包過多就會引起路由器負載問題;
破解:利用埠掃描技術,做一個回城的包就可以進行穿透。

第二代:代理伺服器技術(堡壘機):(先將包發給代理伺服器,伺服器拆開查一遍之後重新封裝,然後轉發給內部網路)主要用SOCKS協議。
優點:可以對應用層進行過濾;
缺點:比包過濾防火牆效能還低下。

第三代:狀態防火牆(將網路上的資料用流的形式對待,流在防火牆經過會形成——會話表)


1)流的第一個包進入防火牆,防火牆先去匹配規則,如果規則允許會到第二步,如 果不允許,丟棄。(路由規則、NAT的規則、策略)。
2)會為流建立會話表,後續所有流的包直接匹配會話表進行轉發。
案列:如果PC訪問百度,會話表會生成視窗大小、序列號等一些預期值,回城流量需要匹配上這個預期值,否則無法進來。
原理:
在這裡插入圖片描述
對於TCP報文
開啟狀態檢測機制時,首包(SYN報文)建立會話表項。對除SYN報文外的其他報文,如果沒有對應會話表項(裝置沒有收到SYN報文或者會話表項已老化),則予以丟棄,也不會建立會話表項。
關閉狀態檢測機制時,任何格式的報文在沒有對應會話表項的情況下,只要通過各項安全機制的檢查,都可以為其建立會話表項。
對於UDP報文
UDP是基於無連線的通訊,任何UDP格式的報文在沒有對應會話表項的情況下,只要通過各項安全機制的檢查,都可以為其建立會話表項。
對於ICMP報文
開啟狀態檢測機制時,沒有對應會話的ICMP應答報文將被丟棄。
關閉狀態檢測機制時,沒有對應會話的應答報文以首包形式處理
1、 不檢查資料區
2、 建立連線狀態表
3、 前後報文相關
4、 應用層控制很弱
這種防火牆技術通過一種被稱為“狀態監視”的模組,在不影響網路安全正常工作的前提下采用抽取相關資料的方法對網路通訊的各個層次實行監測,並根據各種過濾規則作出安全決策。
會話列表:

在這裡插入圖片描述
會話是狀態檢測防火牆的基礎,每一個通過防火牆的資料流都會在防火牆上建立一個會話表項,以五元組(源目的IP地址、源目的埠、協議號)為Key值,通過建立動態的會話表提供域間轉發資料流更高的安全性。
下一代防火牆在五元組基礎上增加使用者、應用欄位擴充套件為七元組。
下一代防火牆會話表包括七個元素:
源IP地址、源埠、目的IP地址、目的埠、協議號、使用者(深信服)、應用
超時機制:1)握手階段會話表超時時間一般60s,防止tcp半開攻擊。
DOS攻擊的防禦,建立一個cookie表記錄與他握手的源地址,如果第X(調整)次握手再來握手,檢測cookie如果有記錄就不處理,不會ACK不把握手防止在two-way timeout表。對於DDOS無效。
防火牆技術可以設定會話表的連線次數,也可以防止DOS攻擊。
2)握手成功一般會話表的超時時間為60min。

轉發機制:
在這裡插入圖片描述
FTP的問題?
請求和傳輸分為倆個埠實現,傳輸由伺服器主動發出,防火牆的會話表是沒有這個狀態的,導致FTP傳輸無法成功。
埠檢測技術。檢查21號埠的傳輸的資料的資料部分(應用層)檢視傳輸的協商埠,然後在防火牆上開放此埠。
這種技術會使得防火牆效能下降(會將應用層的包拆開)。
UDP的問題?
沒有flag欄位,所以檢測的元素會變少,防禦效果會減弱。而且udp是無連線的,只能通過源目IP,埠去判斷。
UDP對防火牆來講也會建立虛連線會話表。

ICMP的問題?
沒有埠,防禦能力繼續下降。一般防火牆會預設禁止icmp回報。

針對應用層的攻擊?
會話表無法檢視應用層的內容,無法防止基於應用的攻擊。

第四代UTM多功能防火牆:
在這裡插入圖片描述
網路邊界裝置過多,有路由器、防火牆、IPS、應用代理(管理流量、上網行為)、WAF(web 過濾)、防毒牆、漏洞檢測、負責均衡裝置。
深信服下一代防火牆NGAF:
在這裡插入圖片描述
在這裡插入圖片描述
補充:沙盒技術
將該病毒或者程式在單獨的記憶體中讓其工作,若發現有攻擊行為將其隔離。

相關推薦

不要防火牆當做防火牆哪些成長便

1、作用:隔離內外網,防止外部網路的入侵。 2、發展過程: 第一代:包過濾防火牆(欺騙類攻擊無法防止、無法防禦拒絕訪問攻擊DOS、採用逐包匹配效率低下) ①NAT+ACL版本防火牆 如圖所示:R0上做了G0/0->G0/1方向的NAT,此時左邊可以訪問右邊的外網server1; 在

java技術達人養成記位java技術達人的成長(四年)

   在開始看這個篇文章之前,先來看一下自己的定位,然後匹配自己的發展。 我們每天都會遇到下面這些問題,不知道大家有什麼新的看法?   1、資訊社會,我們越來越不堪負荷,工作被越來越頻繁地打斷。  2、專案經理,

不要異常當做業務邏輯這效能可能你無法承受

## 一:背景 ### 1. 講故事 在專案中摸爬滾打幾年,應該或多或少的見過有人把異常當做業務邏輯處理的情況(┬_┬),比如說判斷一個數字是否為整數,就想當然的用`try catch `包起來,再進行 `int.Parse`,如果拋異常就說明不是整數,簡單粗暴,也不需要寫正則或者其他邏輯,再比如一個

組合語言中有一種移位指令叫做迴圈左移(ROL)現在個簡單的任務就是用字串模擬這個指令的運算結果。對於一個給定的字元序列S請你其迴圈左移K位後的序列輸出。例如字元序列S=”abcXYZde

這道題要注意字串為空的情況,否則通不過  public class Solution { public String LeftRotateString(String str,int n) { StringBuffer buf=new StringBuff

個數組中除了兩個數字只出現次外其他數字都出現兩次求出這兩個出現次的數字

求出兩個只出現一次的數字 首先,我們知道兩個相同的數字進行異或操作時為0,如果題目裡面只有一個數字出現一次的話,我們就可以直接對陣列中的所有數字進行異或操作,最後得到的數字就是單獨出現的那個數字,但

段JAVA代碼了解多線JUC、CAS原子性操作。

current 排序 沒有 共享數據 信號 call countdown for ride @Test public void testPaceController_multiThread() throws InterruptedException {

萬年太久只爭朝夕男兒淚不輕彈只是未到傷心處!!!!!!

滿江紅·和郭沫若同志 小小寰球,有幾個蒼蠅碰壁。 嗡嗡叫,幾聲淒厲,幾聲抽泣。 螞蟻緣槐誇大國,蚍蜉撼樹談何易。 正西風落葉下長安,飛鳴鏑。 多少事,從來急; 天地轉,光陰迫。一萬年太久,只爭朝夕。 四海翻騰雲水怒,五洲震盪風雷激。 要掃除一切害人蟲,全無敵。 時間匆匆而

堅持寫了年的部落格哪些收穫

一 、引子 不知不覺,以每月最少一篇、每週一篇到兩篇的頻率開始寫部落格已經差不多堅持了一年,也算是個人一個小小的進步吧,雖然離那些一直在進步的朋友們差距越來越大,但我覺得長期堅持下去至少會比以前的自己更優秀,這就已經是一種進步了。  二、寫部落格的好處、壞處 寫部落格是對每個人來說都有成長的

Web前端面試指導(十):樣式導入哪些方式?

web前端樣式導入方式linkimport使用方式link的使用[css] view plain copy <link href="index.css" rel="stylesheet"> import的使用[css] view plain copy <style type="text/c

TortoiseGit- 創建本地新分支提交推送到遠本地新分支合並到工作分支提交到遠工作分支等。

自動 ise 工作 tor 註意 遠程工作 關系 egit .html 整體思路: 創建本地新分支 (create branch) -- 切換到本地新分支工作 (switch/checkout) --提交修改 (commit) -- 推送到遠程新分支 (push) -

display、box-sizingposition哪些值?

哪些 換行 head 指定 index item 就是 fixed padding display有哪些值? none 此元素不會被顯示。 block 此元素將顯示為塊級元素,此元素前後會帶有換行符。 inline 默認。此元素會被顯示為內聯元素,元素前後

Java代碼優化哪些常用方法?

Java開發 Java學習 Java代碼優化 Java代碼優化是Java編程開發很重要的一個步驟,Java代碼優化要註重細節優化,一個兩個的細節的優化,產生的效果不大,但是如果處處都能註意代碼優化,對代碼減少體積、提高代碼運行效率是有巨大幫助的,還能在一定程度上避免未知錯誤,常用的Java代碼優化

工作十五年哪些體會?

是你 深入 商業 錯誤 曾經 更多 制造業 解決 哈哈 《文章為原創,轉載請註明作者:司馬懿PPT》在大型制造業企業工作十五年,周邊都是各大名校的本科,碩士,可以說是高手如林。十五年,時間足夠長到可以總結點什麽了,今天就這這個問題,我也想說說自己的想法。盡量撈幹的說。1,不

狄克斯拉特算法。 適用於加權向無環圖且無負權邊的最短路徑計算。

app 計算 aaaaaa ict nbsp aps ces find aaaaa 沒事時看的一道題,解完後發現這居然是一個算法。 就在這裏拷貝一份,免得後面自己都忘了自己原來寫的是什麽東西。 核心思路: 1、找到臨近節點中路徑最短的那一個。 2、更新從該節點去它臨近節點的

大資料學習中哪些資料吐槽沒有困擾你的

01. 由於供職於成都科多大資料公司,做講師的原因,會經常收到一些學員或朋友學習和工作中的困擾問題,有涉及資料轉型入門的問題,有資料成長進階的問題,也有實際業務資料的問題,當然,更有一些特殊的問題,歸類為"資料吐槽"。   02. 何為"資料吐槽",我這裡的定義是:在資料領域,無論

專案為什麼會失敗(預估時間真的很難必須充分的心理準備所有人高度重視專案的難度)

“ ……你們將首先遇到塞壬女妖們  她們會唱出美妙無比的歌聲  以此來誘惑往來穿梭的行人  若有人靠近聆聽她們的聲音  他將不可能獲得生還的機會  再也見不到自己的妻子兒女  ……”

物聯網絡卡為什麼會這麼火主要哪些優勢?

由於物聯網的快速發展,物聯網絡卡也跟著火爆起來,受到了越來越多的企業歡迎。這個時候就有人問了,物聯網絡卡為什麼會這麼火?它有哪些優勢呢?接下來小編來個大家講解一下吧。 物聯網絡卡為什麼會這麼火? 1.發展趨勢 由於現在需要物聯網絡卡的智慧裝置太多了,所以物聯網絡卡的發展會越來越

程式設計師工資高很多人想轉行理由很簡單!

這些年各大網際網路公司曝光的一些員工收入水平來看,程式設計師的工資還是相對比較高的,可是我們在網際網路上還聽到了另外一種聲音,很多程式設計師想轉行,特別是大齡程式設計師,這可能會令很多人納悶。為什麼工資這麼高還想轉行呢?其實也很無奈,從下面幾點可以看得出來。 #1、程式設計師加班多,經常熬夜 IT行業

程序員工資高很多人想轉行理由很簡單!

gem strip img 計劃 交流 總結 問題 好項目 多人 這些年各大互聯網公司曝光的一些員工收入水平來看,程序員的工資還是相對比較高的,可是我們在互聯網上還聽到了另外一種聲音,很多程序員想轉行,特別是大齡程序員,這可能會令很多人納悶。為什麽工資這麽高還想轉行呢?其實

布隆過濾器(Bloom Filter)(給兩個檔案分別100億個字串我們只要1g的記憶體如何找到兩個檔案的交集?分別給出精確演算法和近似演算法?)

  給兩個檔案,分別有100億個字串,我們只要1g的記憶體,如何找到兩個檔案的交集?分別給出精確演算法和近似演算法? 精確演算法:   我們可以建立1000個檔案,運用雜湊函式先將檔案1的字串儲存在對應的檔案中,之後再檔案2中取元素,通過雜湊函式計算出雜湊地址