对于防火墙的个人理解

#0x00:防火墙目的
1.阻止外部访问内部
2.阻止内部访问外部

#0x01:阻截方法
部署在访问资源必经的链路上,对出入的数据包根据安全策略进行判定丢弃还是放行

#0x02:相关概念

五元组
IP地址,源端口,目的IP地址,目的端口和传输层协议

ACL
访问控制列表是应用在路由器接口的指令列表,这些指令列表用来告诉路由器哪些数据包可以接收、哪些数据包需要拒绝

NAT
网络地址转换是将私有IP地址通过边界路由转换成外网IP地址,在边界路由的NAT地址转换表记录下这个转换映射记录,当外部数据返回时,路由使用NAT技术查询NAT转换表,再将目标地址替换成内网用户IP地址。

MAP
端口映射就是将外网主机的IP地址的一个端口映射到内网中一台机器,提供相应的服务。当用户访问该IP的这个端口时,服务器自动将请求映射到对应局域网内部的机器上。

HA
High Availability,即高可用性,可防止由单个服务器故障而导致的网络中断,目前有主主和主备两种模式
主主模式:两台服务器都处于主状态,同时处理数据
主备模式:一台处于主状态,另一台处于备用状态,当主状态的机器宕机时,启用备用的服务器

#0x03:工作原理
1.包过滤
防火墙部署在访问资源必经的链路上,对出入的每一个数据包逐条匹配ACL,直到适合某条规则,根据规则放行或丢弃

2.状态检测
状态检测技术采用一种基于协议(如TCP协议)运行时状态跟踪检测机制,将属于同一连接的所有包作为一个整体的数据流看待,构成连接状态表,通过规则表与状态表的共同配合,对表中的各个连接状态因素加以识别。

3.应用代理
应用代理技术是指在web服务器上或某一台单独主机上运行代理服务器软件,对网络上的信息进行监听和检测,并对访问内网的数据进行过滤,从而起到隔断内网与外网的直接通信的作用,保护内网不受破坏。

#0x04:工作模式
1.透明模式
内外网处于同一网段,直接将防火墙串联到链路上,对数据包进行处理,但内外可以直接知道对方的IP地址

2.路由模式
内外网处于不同网段,内外无法知道对方的IP地址,此时防火墙起到了路由器的作用,对不同网段的互通进行路由转发,再进行数据拦截处理

3.混合模式
以上两种方式混合

你可能感兴趣的:(对于防火墙的个人理解)