防火墙是一款具有安全防护功能的网络设备,保护一个网络区域避免另一个网络区域的攻击和入侵。
物理防火墙(物理设备)、软件防火墙(Windows自带firewall)
其本职工作是隔离网络
基本功能
- 会话管理
- 内网安全管控
- 入侵防护
- 内容安全过滤
- 防病毒(需要更新病毒库)
-
什么是会话
客户端和服务器通过(TCP/UDP)建立连接后,到通信结束的整个过程,就是一个会话期。在一个会话中,一般包含两个数据流(C to S 和 S to C)。
-
SYN检查
同步序列编号(Synchronize Sequence Numbers)。是TCP/IP建立连接时使用的握手信号。TCP连接的第一个包。
SYN攻击就是发送了大量伪造的TCP连接请求,使得被攻击方资源耗尽。它在发出SYN,收到服务器的SYN/ACK的应答包后,不去发送最后一个ACK包。导致会话并没有真正建立起来,而这些半连接状态都被保存在缓存队列里,最终导致服务器端资源耗尽。
SYN检查就是在还没有会话信息时,一条非SYN消息的TCP数据包到达防火墙,会被当做非法消息舍弃。
-
会话生存时间
在防火墙中会维护一个会话信息表,用来记录每一组会话。当一组会话长时间没有通信时,防火墙会把这组会话删除,因为会话表中会话项是有限的,长时间保留会占资源。等需要通信时再重新建立会话。
这样也能够防范Dos攻击,并且控制防火墙的负载
-
访问控制列表
访问控制列表(ACL),表中的表项主要有三部分组成:匹配项、行为、选项。
每一条控制规则都有相应的编号。
匹配项:基本的ACL是以源IP地址为匹配项;而高级的ACL匹配项可以是源IP地址、目的IP地址、端口号等
行为:
permit/deny选项:指定表项的有效时间等
防火墙和交换机、路由器区别
- 交换机是用来连接局域网的,处于中继层(二层),根据MAC地址寻址。可作为端口扩展
-
路由器主要将交换机组成的局域网接入internet,处于网络层(三层),根据IP地址寻址,可提供防火墙功能
-
防火墙通过流量控制和安全防护。隔离出不同的安全区域
防火墙分类
-
包过滤防火墙:针对五元组(源IP地址,源端口,目的IP地址,目的端口和传输层协议)进行数据包的安全过滤通过配置ACL(Access Control List)实现数据包的过滤。
特点:
- 需要对每个数据包排查,效率低
- ACL规则难以适应动态需求,对于一些多通道协议(FTP/SIP等),无法预知其安全策略
- 无法检测来自传输层和应用层的攻击
-
状态防火墙:包括包过滤防火墙的功能,同时追踪数据包的每个状态(维护一个状态检查表),检测的是连接状态而不是每个报文。通过安全规则和状态表共同配合来决定数据包的去留。
![[附源码]java毕业设计中医药系统论文2022](https://img-blog.csdnimg.cn/57faca948a704c83883a9c442fc7ced0.png)
