内外网的交流安全(DMZ,网闸,防火墙)

汇总与修改自以下参考资料
https://www.xianjichina.com/news/details_88937.html
https://baike.baidu.com/item/防火墙/52767?fr=aladdin
https://www.cnblogs.com/xingyunblog/articles/10900211.html
https://www.cnblogs.com/leii/articles/12207977.html
https://www.imaschina.com/article/5890.html
七层协议:https://www.cnblogs.com/zhaobao1830/p/10257590.html

文章目录

      • DMZ
      • GAP
      • FireWall
      • 堡垒机
      • IDS
      • IPS
      • IRS
      • 小结

DMZ

DMZ隔离区(demilitarized zone)内通常放置一些不含机密信息的公用服务器,比如 WEB 服务器、E-Mail 服务器、FTP 服务器等
1.内网可以访问外网:防火墙进行源地址转换,即指定对外的IP地址使得内网的多部主机可以通过一个有效的公网ip地址访问外部网络。
2.内网可以访问DMZ:使得内网用户使用和管理DMZ中的服务器。
3.外网不能访问内网
4.外网可以访问DMZ:DMZ中的服务器本身就是要给外界提供服务的,外网访问DMZ需要由防火墙完成对外地址到服务器实际地址的转换。
5.DMZ不能访问内网:防止入侵DMZ后获取内网数据
6.DMZ不能访问外网:特别的,DMZ中放置邮件服务器时,就需要访问外网。

GAP

网闸(GAP)在两个不同安全域之间,通过协议转换的手段,以信息摆渡的方式实现数据交换,且只有被系统明确要求传输的信息才可以通过。采用双主机+隔离硬件实现,内外网无直接的物理连接。
网闸工作在链路层上断开,通过对硬件上的存储芯片的读写,完成数据的交换。所以其具备数据库、文件同步、定制开发接口功能,且不存在内外网之间的会话。
安全隔离网闸使用私有协议,不支持传统网络结构的所有协议如TCPUDP、ICMP等从而规避协议本身的漏洞。
物理隔离卡并不等于网闸,其只能提供一台计算机在两个网之间切换,并且需要手动操作。

FireWall

防火墙用于单主机系统,大多数防火墙工作在网络层,也可以在传输与应用层工作,保证网络层安全的边界安全工具如DMZ。其直接进行数据包转发,基本上只支持浏览、邮件功能。具有加密与病毒预防机制。

过滤型防火墙:在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过。
应用代理防火墙:位于应用层之上,完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。

桥接模式:正常的客户端请求通过防火墙送达服务器,服务器将响应返回给客户端。工作在桥模式下的防火墙没有IP地址,当对网络进行扩容时无需对网络地址进行重新规划,但牺牲了路由、VPN等功能。
网关模式:网关模式适用于内外网不在同一网段的情况,防火墙设置网关地址实现路由器的功能,为不同网段进行路由转发。
NAT模式:NAT(Network Address Translation)由防火墙对内部网络的IP地址进行地址翻译,使用防火墙的IP地址替换内部网络的源地址向外部网络发送数据;当外部网络的响应数据流量返回到防火墙后,防火墙再将目的地址替换为内部网络的源地址。
实现外部网络访问内部网络服务的需求时,还可以使用地址/端口映射(MAP)技术,在防火墙上进行地址/端口映射配置,当外部网络用户需要访问内部服务时,防火墙将请求映射到内部服务器上;当内部服务器返回相应数据时,防火墙再将数据转发给外部网络。

堡垒机

切断终端计算机对网络和服务器资源的直接访问,而采用协议代理的方式,接管了终端计算机对网络和服务器的访问。
主要实现了身份认证,账号管理,访问控制,操作审计的功能。

IDS

入侵检测系统(intrusion detection system)是一个监听设备,无须网络流量流经它便可以工作。因此IDS应当挂接在所有所关注流量都必须流经的链路上。"所关注流量"指的是来自高危网络区域的访问流量和需要进行统计、监视的网络报文。

异常行为检测:要建立一个系统访问正常行为的模型,凡是访问者不符合这个模型的行为将被断定为入侵。
误用行为检测:将所有可能发生的不利的不可接受的行为归纳建立一个模型,凡是访问者符合这个模型的行为将被断定为入侵。

基于标志的检测技术:定义违背安全策略的事件的特征,如网络数据包的某些头信息。检测主要判别这类特征是否在所收集到的数据中出现。
基于异常的检测技术:CPU利用率、内存利用率、文件校验和等系统运行时的数值与所定义的“正常”情况比较。

IPS

入侵防御系统(IPS: Intrusion Prevention System)能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够及时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

IRS

入侵响应系统(Intrusion Response Systems) 位于防火墙和网络的设备之间,依靠对数据包的检测进行防御,能够监视网络或网络设备的网络资料传输行为的计算机网络安全设备,能够即时的中断、调整或隔离一些不正常或是具有伤害性的网络资料传输行为。

小结

对于双主机的内外网,使用网闸保证安全隔离+防火墙连通安全
对于单主机的内外网,使用隔离卡切换网络+DMZ隔离内外网+防火墙内外网防护
对于网络管理审计,使用IDS网络检测+IPS危险预防+IRS响应不良状态+堡垒机用户管理

你可能感兴趣的:(计算机网络,网络)