tft每日頭條

 > 科技

 > 防火牆安全策略參數在哪裡

防火牆安全策略參數在哪裡

科技 更新时间:2024-11-20 00:49:48

防火牆安全策略參數在哪裡?防火牆概述安全區域:公共外部網絡、内聯網、外聯網、軍事緩沖區DMZ,今天小編就來說說關于防火牆安全策略參數在哪裡?下面更多詳細答案一起來看看吧!

防火牆安全策略參數在哪裡(軟考-信息安全工程師學習筆記-第8章防火牆技術原理與應用)1

防火牆安全策略參數在哪裡

防火牆概述

安全區域:公共外部網絡、内聯網、外聯網、軍事緩沖區DMZ

安全策略兩種類型:

白名單策略:隻允許符合安全規則的包通過防火牆,其他通信禁止;

黑名單策略:禁止與安全規則相沖突的包通過防火牆,其他通信包都允許。

防火牆主要功能:過濾非安全網絡訪問、限制網絡訪問、網絡訪問審計、網絡寬帶控制、協同防禦

防火牆的安全風險:

1.網絡安全旁路

2.防火牆功能缺陷:防火牆不能完全防止感染病毒的軟件或文件傳輸;防火牆不能防止基于數據驅動式的攻擊;防火牆不能完全防止後門攻擊。

3.防火牆安全機制形成單點故障和特權威脅

4.防火牆無法有效防範内部威脅

5.防火牆效用受限于安全規則

防護牆類型與實現技術

包過濾:包過濾是在 IP 層實現的防火牆技術,包過濾根據包的源 IP 地址、目的地址、源端口、目的端口及包傳遞方向等包頭信息判斷是否允許包通過。包過濾的控制依據是規章保護,表示格式由規則号、匹配條件、匹配操作組成。

狀态檢測技術:基于狀态的防火牆通過利用 TCP 會話和 UDP“僞”會話的狀态信息進行網絡訪問機制。建立并維護一張會話表。

應用服務代理:應用服務代理防火牆扮演着受保護網絡的内部網主機和外部網主機的網絡通信連接“中間人”的角色。外部網絡用戶隻能看到代理服務器,從而隐藏了受保護網絡的内部結構及用戶的計算機信息。

網絡地址轉換NAT:主要解決公開地址不足,可以緩解少量因特網 IP 地址和大量主機之間的矛盾。實現網絡地址轉換的方式有 3 種類型:靜态 NAT、NAT 池和端口 NAT(PAT)。

靜态NAT:内部網絡中的每個主機都被永久的映射成外部網絡中的某個合法地址。

NAT池:配置合法的地址池,采用動态分配的方法映射到内部網絡。

端口NAT(PAT):把内部地址映射到外部網絡的一個IP地址的不同端口上。

WEB防火牆技術:基于保護WEB服務器和WEB應用的網絡安全機制。

數據庫防火牆技術:用戶保護數據庫服務器的網絡安全機制。基于數據通信協議深度分析和虛拟補丁。

數據庫通信協議深度分析可以獲取訪問數據庫服務器的應用程序數據包的“源地址、目标地址、源端口、目标端口、SQL語句”等信息。

虛拟補丁及時通過在數據庫外部創建一個安全屏蔽層,監控所有數據庫活動,進而阻止可疑會話,防止數據庫漏洞被利用,從而不用打數據庫廠商的補丁,也不需要停止服務,可以保護數據庫安全。

工控防火牆:工業控制系統專用防火牆簡稱為工控防火牆,是一種用于保護工業設備及系統的網絡安全機制。

下一代防火牆:下一代防火牆除了集成傳統防火牆的包過濾、狀态監測、地址轉換等功能外,還具有應用識别和控制、可應對安全威脅演變、檢測隐藏的網絡活動、動态快速響應攻擊、支持統一安全策略部署、智能化安全管理等新功能。

防火牆共性技術:深度包檢測(DPI)、操作系統、網絡協議分析

防火牆主要産品與技術指标

主要指标四類:安全功能要求、性能要求、安全保障要求、環境适應要求

安全功能指标:網絡接口、協議支持、路由支持、設備虛拟化、加密支持、認證支持、訪問控制、流量管理、應用層控制、攻擊防護、管控功能、審計和報表

防火牆性能指标:最大吞吐量、最大連接數、最大規則數、并發連接數

防火牆防禦體系結構類型

基于雙宿主機防火牆結構:最基本的防火牆結構,至少有兩個網絡接口卡的主機系統,内網和外網分别在不同網卡上,使内、外網不直接通信。

基于代理型防火牆結構:由一台主機同外部網連接,該主機代理内部網和外部網的通信,代理主機位于内部網絡,采用一個過濾路由器,過濾路由器配置規則如下:

1.允許其他内部主機為某些類型的服務請求與外部網絡建立直接連接。

2.任何外部網的主機隻能與内部網的代理主機建立連接。

3.任何外部系統對内部網絡的操作都必須經過代理主機。

基于屏蔽子網的防火牆結構:在代理型結構中增加一層周邊網絡的安全機制,采用兩個過濾路由器,使用内部網絡和外部網絡有兩層隔離帶。

,

更多精彩资讯请关注tft每日頭條,我们将持续为您更新最新资讯!

查看全部

相关科技资讯推荐

热门科技资讯推荐

网友关注

Copyright 2023-2024 - www.tftnews.com All Rights Reserved