防火墙概述
由软件和硬件组成的系统,它处于安全的网络和不安全的网络之间,根据由系统管理员设置的访问控制规则,对数据流进行过滤
- 对于内部攻击以及绕过防火墙的连接却无能为力
对数据流如何处理
- 允许数据流通过
- 拒绝数据流通过,并向发送者回复一条消息,提示发送者该数据流已被拒绝
- 将数据流丢弃,不对这些数据包进行任何处理,也不会向发送者发送任何提示信息
需要满足
- 所有进出网络的数据流都必须经过防火墙
- 只允许经过授权的数据流通过防火墙。
- 防火墙自身对入侵是免疫的
防火墙的类型和结构
- 一代 包过滤防火墙
- 二代 电路级网关
- 三代 应用级网关
- 四代 动态包过滤
- 五代 内核代理/自适应代理
分类
- 包过滤防火墙
- 电路级
- 应用级
设计结构
- 静态包过滤
- 动态包过滤
- 电路级网关
- 应用级网关
- 状态检查包过滤
- 切换代理
- 空气隙(物理隔离)
防火墙通常建立在TCP/IP模型基础上,OSI模型与TCP/IP模型之间并不存在一一对应的关系
网络地址转换NAT
- NAT优点:隐藏内部拓扑结构,提升网络安全
- 静态NAT:网络地址转换的时候,内网地址和外部InternetIP地址转换一一对应
- 动态NAT: 可用的Internet IP地址限定在一个范围内
- PAT端口地址转换:进行网络地址转换时,不仅网络地址发生改变,而且协议端口也会发生改变
- SNAT:源网络地址转换内部用户使用专用地址访问Internet时,必须将IP头部中的数据源地址转换成合法的Internet地址
- DNAT:目标网络地址转换