免费国产美女一级A作爱播放免费,日本动漫精品一区二区三区,ⅩⅩ国产全无遮挡无码,国产精品无码视频2020

  • <delect id="1z9bx"><center id="1z9bx"><ruby id="1z9bx"></ruby></center></delect>

      1. <u id="1z9bx"><sub id="1z9bx"></sub></u>

      2. 什么是防火墻?

        發(fā)布時間:2024-02-27
        什么是防火墻?
        防火墻是一種機制,用于控制和監(jiān)視網(wǎng)絡上來往的信息流,目的是保護網(wǎng)絡上的設備。流過的信息要與預定義的安全標準或政策進行比較,丟棄不符合政策要求的信息。實際上,它是一個過濾器,阻止了不必要的網(wǎng)絡流量,限制了受保護網(wǎng)絡與其它網(wǎng)絡(如因特網(wǎng),或站點網(wǎng)絡的另一部分)之間通信的數(shù)量和類型。下圖顯示了一個簡單的防火墻,禁止來自因特網(wǎng)對個人計算機(pc)和可編程邏輯控制器(plc)的訪問,但允許對企業(yè)web服務器的訪問。
        圖:一個簡化的防火墻舉例
        防火墻類型
        防火墻具有很多不同的設計和配置。它可以是一個連接到網(wǎng)絡的單獨物理硬件設備(如思科的pix®或賽門鐵克的安全網(wǎng)關(guān)防火墻),可以是一個帶有操作系統(tǒng)和防火墻功能(如運行在linux®服務器上的“iptables”)的硬件/軟件單元,甚至可以是一個完全基于主機的軟件解決方案,即直接在工作站上安裝防火墻軟件(如諾頓的個人防火墻®或sygate的個人防火墻)。
        獨立的硬件或硬件/軟件單元通常被稱為網(wǎng)絡防火墻,通常是最安全的解決方案,把企業(yè)網(wǎng)絡與工業(yè)自動化控制網(wǎng)絡(iacn)分開。它們是專用的功能單元,除了個別例外,加固后可以抵擋一切攻擊。此外,網(wǎng)絡防火墻通常提供最佳的管理選項,因此通常允許對它們進行遠程管理。
        基于主機的防火墻通常能夠接受某些妥協(xié),因為主機的主要功能不是安保,通常要完成一些工作站或服務器的任務,例如數(shù)據(jù)庫訪問或web服務。
        同時,基于主機的防火墻解決方案目前僅適用于windows或基于unix的平臺,只能為網(wǎng)絡上的嵌入式控制設備(如plc)做一定的流量管理?;谥鳈C的防火墻可以放置在iacn / 監(jiān)控與數(shù)采(scada)網(wǎng)絡上,但它們通常在我們今天要考慮的范圍之外。因此,除少數(shù)情況外,本文假定iacn / scada防火墻是一個專用的硬件或硬件/軟件解決方案,通過一系列規(guī)則,對傳送到控制網(wǎng)絡信息流實施允許或拒絕。
        防火墻分類
        網(wǎng)絡使用離散的位組發(fā)送數(shù)據(jù),通常把一定數(shù)量的位組稱為數(shù)據(jù)包。每個數(shù)據(jù)包通常包含若干個獨立的信息,包括(但不限于)的項目有:
        •發(fā)件人的身份(源地址);
        •收件人的身份(目的地址);
        •包涉及的服務(端口號);
        •網(wǎng)絡操作和狀態(tài)標志;
        •把數(shù)據(jù)的有效載荷傳遞到該服務。
        接收一個數(shù)據(jù)包時,防火墻對包的這些特征進行分析,并決定對這個包采取什么行動??梢赃x擇丟棄該包、允許立即通過、因帶寬限制而暫時緩存,或轉(zhuǎn)發(fā)給不同的收件人 – 應按照網(wǎng)絡安全策略采取適當?shù)男袆印?br>這些決定都基于一系列的規(guī)則,該規(guī)則通常被稱為訪問控制列表(acl)。防火墻具有不同的類型,每種類型都具有復雜的分析和行動能力。下面給予分別介紹。
        1.包過濾防火墻
        最簡單一類的防火墻被稱為包過濾防火墻。它具有一系列的靜態(tài)規(guī)則,對收到的報文按規(guī)則采取行動。下面的示例表明了包過濾防火墻是如何按規(guī)則處理數(shù)據(jù)包的:
        •在用戶數(shù)據(jù)報協(xié)議(udp)端口53上接受域名服務(dns)響應數(shù)據(jù)包;
        •阻止因特網(wǎng)協(xié)議(ip)地址為24.116.25.21的任何數(shù)據(jù);
        •通過阻斷傳輸訪問控制協(xié)議(tcp)端口80、443、3128、8000和8080傳出的數(shù)據(jù)包以阻止網(wǎng)上沖浪,除非他們指向企業(yè)內(nèi)部網(wǎng)web服務器的ip地址;
        •丟棄源路由包;
        •接受來自特定ip地址范圍的工程操作站,通過tcp端口23遠程登錄(telnet)到一個特定的分布式控制系統(tǒng)(dcs)ip地址的數(shù)據(jù)。
        不幸的是,包過濾防火墻缺乏理解一系列數(shù)據(jù)包之間關(guān)系的能力。例如,廣泛適用的規(guī)則“接受udp端口53上的dns響應數(shù)據(jù)包”包含一個嚴重的缺陷。如果dns沒有發(fā)過查詢,而用一個偽造的dns“響應”包來代替呢?這個簡單的防火墻會接受這個數(shù)據(jù)包,并提供給“請求”主機,這可能會帶來麻煩。比較狡猾的黑客會利用防火墻的這些弱點潛入內(nèi)部系統(tǒng)。
        包過濾防火墻的優(yōu)點具有:成本低廉且對網(wǎng)絡性能影響較小,因為只檢查數(shù)據(jù)包中的ip地址和端口號。這種方法有時也稱為靜態(tài)過濾。它往往是直接部署在交換機或路由器的第3層,而不是專用的“防火墻”。
        2.狀態(tài)防火墻
        這是一種更復雜的防火墻,具有智能跟蹤流經(jīng)的數(shù)據(jù)包,以及了解他們之間的相互關(guān)系。因為具有接收包的歷史和當前連接的狀態(tài),它只能接收“預期”的數(shù)據(jù)包。由于防火墻是智能的,所以有條件制定狀態(tài)防火墻的規(guī)則集。例如:
        •只有當發(fā)出的dns查詢與相同的dns請求標識相匹配時,才接收udp端口53上的dns響應數(shù)據(jù)包。
        •僅在控制通道協(xié)商成功后,才允許文件傳輸協(xié)議(ftp)通道傳輸數(shù)據(jù)。
        •阻止所有源自tcp端口80傳入的網(wǎng)絡數(shù)據(jù),除非他是專門針對先前傳出的超​​文本傳輸​​協(xié)議(http)的請求。
        這種類型的防火墻提供了一種高層次的安保和性能,以及對最終用戶的透明度,但價格比較昂貴。由于它的復雜性,如果沒有相關(guān)資質(zhì)的人員管理,這類防火墻可以比簡單類型的防火墻更不安保。這種方法有時也稱為動態(tài)包過濾。
        3.應用代理防火墻
        應用代理防火墻在應用層打開數(shù)據(jù)包,按照特定的應用規(guī)則來處理他們,然后重新組裝,轉(zhuǎn)發(fā)到所需的目標設備。通常,它們被設計成針對于各種應用協(xié)議(如telnet、ftp、http等)的單一機器,隨后轉(zhuǎn)發(fā)到各個主機計算機完成各項服務??蛻舳瞬恢苯舆B接外部服務器,而是連接代理防火墻,需要時由代理防火墻發(fā)起連接外部服務器的請求。有些代理防火墻,支持配置內(nèi)部客戶端自動執(zhí)行這種重定向,且不用用戶知道。有些人可能會要求用戶直接連接代理服務器,然后通過指定的格式發(fā)起連接。
        代理防火墻提供了一些重要的安保特性,例如防火墻可以識別和控制有些應用協(xié)議。它可以對應用協(xié)議使用訪問控制列表,在要求用戶或系統(tǒng)授權(quán)訪問之前提供額外的驗證。此外,可以創(chuàng)建規(guī)則集,用于理解特定的協(xié)議,可以僅為阻止協(xié)議子集進行配置。例如,可以創(chuàng)建這樣的http防火墻規(guī)則:阻止所有含腳本的http數(shù)據(jù)包入站。相比之下,過濾路由器要么阻止所有的http數(shù)據(jù),要么不阻止,而不是阻止一個子集。
        這種類型的防火墻可以提供一個高水平的安保,但也明顯影響了網(wǎng)絡性能。此外,大部分應用代理防火墻產(chǎn)品只支持幾種常見的因特網(wǎng)協(xié)議,如http、ftp或簡單郵件傳輸協(xié)議(smtp)。其結(jié)果是,對含有工業(yè)應用層協(xié)議的報文,如公共工業(yè)協(xié)議®(cip)或modbus / tcp®,需要在防火墻狀態(tài)或包過濾模式中增加對工業(yè)應用層協(xié)議的數(shù)據(jù)處理。
        在過去的幾年中,市場上出現(xiàn)了很多利用狀態(tài)與應用代理技術(shù)組合的防火墻,他們通常被稱為混合型防火墻。
        4.深度包檢測防火墻
        防火墻市場目前已經(jīng)遷移到了第四代技術(shù),被稱為“深度包檢測”(dpi)或“應用防火墻”。比起傳統(tǒng)的應用代理,它通常提供更深入的應用層過濾,但不執(zhí)行完整的tcp連接代理。例如,dpi防火墻能夠用可擴展標記語言(xml)在web連接上檢查簡單對象訪問協(xié)議(soap)的對象,實施允許/禁止什么對象進入網(wǎng)絡的政策。
        其他防火墻服務
        除了數(shù)據(jù)包過濾的核心服務,現(xiàn)代的防火墻還提供其他基于網(wǎng)絡的安保服務。這些服務可能包括:
        1.執(zhí)行像入侵檢測系統(tǒng)(ids)的功能,可以記錄被拒絕訪問的數(shù)據(jù)包,識別專門導致網(wǎng)絡問題的數(shù)據(jù)包,或報告異常的信息流。
        2.在防火墻上部署“一線”的防病毒軟件。如果發(fā)現(xiàn)有感染數(shù)據(jù)的特征,這種數(shù)據(jù)在進入網(wǎng)絡前就被阻止。
        3.身份驗證服務,要求用戶連接到防火墻另一側(cè)的設備使用密碼或強大的驗證方法(如公共密鑰加密)通過防火墻驗證。
        4.虛擬專用網(wǎng)(vpn)網(wǎng)關(guān)服務,在防火墻和遠程主機設備之間建立一個加密的隧道。
        5.網(wǎng)絡地址轉(zhuǎn)換(nat),在防火墻一側(cè)的一組ip地址映射到另一側(cè)不同的一組地址。
        這些額外的服務將依賴于購買的防火墻的品牌和型號。顯然,這些附加功能可能意味著額外的成本,增加了配置的復雜性并降低了網(wǎng)絡的性能。然而,利用了這些功能, 往往能顯著提高iacn / scada網(wǎng)絡的整體安保性能。
        上一個:8月溫州臺風關(guān)閉景點有哪些
        下一個:為何一年中最好的茶是“明前茶”?

        windows域控制器根域名設置
        大佬們我剛買的阿里云服務器
        華為設置里開發(fā)人員選項在哪里(如何開啟華為開發(fā)人員選項)
        什么是變壓器油色譜儀|其應用范圍
        第一類防雷建筑物防直擊雷的措施要求有哪些?
        維修德國mit閥門
        七個小妙招,讓你晚上喝茶不失眠
        m2固態(tài)硬盤對比評測,請問M2固態(tài)硬盤性價比比較
        茶葉貯藏大學問
        win 10系統(tǒng)在哪里調(diào)亮度(win10的系統(tǒng)怎么調(diào)亮度)