网安笔记14 firewall

防火墙概述

由软件和硬件组成的系统，它处于安全的网络和不安全的网络之间，根据由系统管理员设置的访问控制规则，对数据流进行过滤

• 对于内部攻击以及绕过防火墙的连接却无能为力

对数据流如何处理

1. 允许数据流通过
2. 拒绝数据流通过，并向发送者回复一条消息，提示发送者该数据流已被拒绝
3. 将数据流丢弃，不对这些数据包进行任何处理，也不会向发送者发送任何提示信息

需要满足

1. 所有进出网络的数据流都必须经过防火墙
2. 只允许经过授权的数据流通过防火墙。
3. 防火墙自身对入侵是免疫的

防火墙的类型和结构

1. 一代 包过滤防火墙
2. 二代 电路级网关
3. 三代 应用级网关
4. 四代 动态包过滤
5. 五代 内核代理/自适应代理

分类

• 包过滤防火墙
• 电路级
• 应用级

设计结构

• 静态包过滤
• 动态包过滤
• 电路级网关
• 应用级网关
• 状态检查包过滤
• 切换代理
• 空气隙（物理隔离）

防火墙通常建立在TCP/IP模型基础上，OSI模型与TCP/IP模型之间并不存在一一对应的关系

网络地址转换NAT

1. NAT优点：隐藏内部拓扑结构，提升网络安全
2. 静态NAT：网络地址转换的时候，内网地址和外部InternetIP地址转换一一对应
3. 动态NAT： 可用的Internet IP地址限定在一个范围内
4. PAT端口地址转换：进行网络地址转换时，不仅网络地址发生改变，而且协议端口也会发生改变
5. SNAT：源网络地址转换内部用户使用专用地址访问Internet时，必须将IP头部中的数据源地址转换成合法的Internet地址
6. DNAT：目标网络地址转换