防火墙可以使用户的网络划规划更加清晰明了,防止跨越权限的数据访问,如果没有防火墙的话,你可能会接到许许多多类似的报告,比如单位内部的财政报告刚刚被数万个Email邮件炸烂。
一套完整的防火墙系统通常是由屏蔽路由器和代理服务器组成。
1、屏蔽路由器:
是一个多端口的IP路由器,它通过对每一个到来的IP包依据组规则进行检查来判断是否对之进行转发。屏蔽路由器从包头取得信息,例如协议号、收发报文的IP地址和端口号、连接标志以至另外一些IP选项,对IP包进行过滤。
这里面举个例子:
一堆人来到一个快要***楼盘售楼部买房,售楼小姐先需要对你们进行大概的登记和了解,你是否有正规工作,是否是本市,是否能正常,首付多少、、、,当进行这一系列的问题后,售楼小姐会对来买房的人员进行一个过滤。
2、代理服务器:
是防火墙中的一个服务器进程,它能够代替网络用户完成特定的TCP/TP功能。一个代理服务器本质上是一个应用层的网关,网关我们前天讲到过,它就是一个关口。
一个为特定网络应用而连接两个网络的网关。用户就一项TCP/TP应用,比如Telnet或者FTP,同代理服务器打交道,代理服务器要求用户提供其要访问的远程主机名。
当用户答复并提供了正确的用户身份及认证信息后,代理服务器连通远程主机,为两个通信点充当中继。整个过程可以对用户完全透明。用户提供的用户身份及认证信息可用于用户级的认证。
还来讲买房:
当你已经符合买房的条件了,你要买到房,关键的环节就是,这时售楼顾问就是网关,你提供完整的资料(,收入明细等)给售楼顾问,售楼顾问会审核下,各条件都符合了,没有问题的话,他就提交给***,批下来了,房子就可以顺利的买到了。
提到IPS,就不能回避另一个概念,防火墙产品型号,入ru侵检测系统IDS(Intrusion Detectio System)。IDS与IPS虽然只有一字之差,但两者功能区别很大。
IDS的主要作用是监控网络状况,发现***行为并记录事件,但是不会对***行为采取动作,防火墙产品选型,是一种侧重于风险管理的安全机制。通常情况下,IDS设备会以旁路的方式接入网络中,与防火墙联动,发现***行为后通知防火墙进行阻断。
IPS是入ru侵防御系统的简称,从字面意思来看,这一概念包括两个部分的含义:发现***行为,阻断***行为。与IDS不同的是,IPS会实时阻断***行为,是一种侧重于风险控制的安全机制。
如何防御***行为。在只需要***检测的场景中,我们也可以将NGFW配置成IDS设备,思科防火墙产品,只检测***行为。
防御***的前提是要先识别***行为,网络中的报文多种多样,如何发现隐藏于其中的***行为呢?与反病毒特性相似,IPS也采用了特征对比的方式,通过签名来判断***行为。
其实防火墙安全区域是一个非常重要的概念,简称为区域(Zone)。安全区域是一个或多个接口的集合,是防火墙区别于路由器的主要特征。防火墙默认情况下为我们提供了三个安全区域,分别是Trust、DMZ和Untrust。Trust区域,该区域内网络的受信任程度高,通常用来定义内部用户所在的网络。DMZ区域,东莞防火墙产品,该区域内网络的受信任程度中等,通常用来定义内部服务器所在的网络。Untrust区域,该区域代表的是不受信任的网络,通常用来定义Internet等不安全的网络除了以上三个安全区域外,我们可以根据自身的业务来规划不能安全区域,可以通过以下命令添加。
[USG6000V1]firewall zone name yewu
添加完需要对安全区域设置优先级,可以执行如下命令,优先级的范围为0-100。
[USG6000V1-zone-yewu]set priority 30
版权所有©2025 产品网
