网络安全---防火墙

防火墙是什么？防火墙是位于两个信任程度不同的网络之间的设备，它对两个网络之间的通信进行控制，通过强制实施统一的安全策略，防止对重要信息资源的非法存取和访问，以达到保护系统安全的目的。

在逻辑上，防火墙是分离器、限制器和分析器，它能够有效地监控内部网络和外部网络之间的任何活动，保证内部网络的安全；在物理上，防火墙通常是一组硬件设备，所以，防火墙=硬件+软件+控制策略。防火墙可以分为包过滤防火墙、代理型防火墙和状态检测防火墙。

（1）包过滤防火墙：利用定义的特定规则，即利用访问控制列表ACL过滤数据包。ACL是由permit（允许）或者deny（拒绝）语句组成的一系列有顺序的规则集合，防火墙可以直接获得数据包的源IP地址、 目的IP地址、源TCP/UDP端口、目的TCP/UDP端口和协议号等参数信息，利用以上信息按照访问控制列表ACL规则进行比较分析，过滤通过防火墙的数据包。

具体操作：ACL规则通过匹配报文中的信息对数据包进行分类，路由设备根据这个规则判断哪些数据包可以通过，哪些数据包需要拒绝，包过滤防火墙的特点是简单，但缺乏灵活性，它针对每个数据包都需要进行策略检查，策略过多会导致性能急剧下降。

（2）代理型防火墙：代理型防火墙是把防火墙作为一个业务访问的中间节点，对于客户端来说防火墙是一个服务器端，对服务器端来说防火墙是一个客户端。代理型防火墙安全性高，但开发代价大，对每一种应用开发一个对应的代理服务是很难做到的，因此，代理型防火墙不能支持很丰富的业务，只能针对某些应用提供代理支持，比如常用的HTTP代理等；

（3）状态检测防火墙：状态检测技术是一种高级的通信过滤技术，它检测应用层协议信息并且监控基于连接的应用层协议状态。对于所有连接，状态检测防火墙通过检测基于TCP/UDP连接的连接状态，动态地决定报文是否可以通过防火墙，在状态检测防火墙中，会维护着一个以五元组（源IP地址、目的IP地址、源端口、目的端口、协议号）为Key值的会话（Session）表项，对于后续的数据包，通过匹配Session表项，防火墙就可以决定哪些是合法访问，哪些是非法访问。

其他网络安全技术：

网络安全体系中的访问控制系统，可以不让低权限的人员做越权工作，但无法保证高权限的人员不做破坏工作，也无法防止低权限人员通过非法行为获得高权限行为的发生。而入侵检测系统IDS是一个通过数据和行为模式分析来识别判断系统是否安全的设备，是防火墙之后的第二道安全闸门，IDS可以捕获并且记录网络上的所有数据，能够分析提炼出可疑的、异常的网络数据，它能够穿透伪装，获取实际的内容，部分IDS还可以自动进行反击、阻断连接、关闭通道。

其他网络安全技术包括：通过身份验证技术、ACL访问控制列表等技术来过滤访问系统的人员，通过系统加固，安装免疫系统等技术对服务器等特殊资源提供保护， 通过安全扫描软件来自行发现系统的漏洞并及时打补丁。对于需要传输的数据，通过加密或者利用VPN通道来保证传输的安全性，而对于系统的运营，通过安全管理中心进行监控，发现可疑操作日志，能够及时提供警告并且进行处理。

敲黑板：防火墙是保护系统安全，主要是保护内部网络安全，分为3类防火墙，各有对应的优缺点，IDS是防火墙的第二道安全闸门，其他网络安全技术做一定的了解即可，本期理论知识较多，要做好笔记哦。

 

《易经》有一句话，“德不配位，必有灾殃”。当我们的能力配不上我们所得时，痛苦便降临了。

 

-end-

要想不错过消息，记得点个赞，和“再看"呀