IT数码 购物 网址 头条 软件 日历 阅读 图书馆
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
图片批量下载器
↓批量下载图片,美女图库↓
图片自动播放器
↓图片自动播放器↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁
 
   -> 系统运维 -> 防火墙调研报告 -> 正文阅读

[系统运维]防火墙调研报告

基本概念

??防火墙指的是一个由软件和硬件设备组合而成、 在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障,是一种获取安全性方法的形象说法,它是种计算机硬件和软件的结合使Internet与Intranet之间建立起一个安全网关 (Security Gateway)从而保护内部网免受非法用户的侵入, 防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成。

防火墙的类型

(1)过滤型防火墙

过滤型防火墙是在网络层与传输层中,可以基于数据源头的地址以及协议类型等标志特征进行分析,确定是否可以通过。在符合防火墙规定标准之下,满足安全性能以及类型才可以进行信息的传递,而一些不安全的因素则会被防火墙过滤、阻挡。

(2)应用代理类型防火墙

应用代理防火墙主要的工作范围就是在OSI的最高层,位于应用层之上。其主要的特征是可以完全隔离网络通信流,通过特定的代理程序就可以实现对应用层的监督与控制。

(3)复合型

截至2018年应用较为广泛的防火墙技术当属复合型防火墙技术,综合了包过滤防火墙技术以及应用代理防火墙技术的优点,复合型防火墙技术综合了其组成部分的优点,同时摒弃了两种防火墙的原有缺点,大大提高了防火墙技术在应用实践中的灵活性和安全性。?

?

防火墙的发展史

  • 第一代防火墙

第一代防火墙技术几乎与路由器同时出现,采用了包过滤(Packet filter)技术。下图表示了防火墙技术的简单发展历史。

  • 第二、三代防火墙

1989年, 贝尔实验室的Dave Presotto和Howard Trickey推出了第二代防火墙,即电路层防火墙,同时提出了第三代防火墙一- 应用层防火墙(代理防火墙)的初步结构。

  • 第四代防火墙

1992年, USC信息科学院的BobBraden开发出了于动态包过滤(Dynamic packet filter) 技术的第四代防火墙,后来演变为目前所说的状态监视(Stateful inspection) 技术。1994年, 以色列的CheckPoint公司开发出了第一 个采用这种技术的商业化的产品。?

  • 第五代防火墙

1998年,NAI公司推出了-种自适应代理(Adaptive proxy)技术,并在其产品Gauntlet Firewall for NT中得以实现,给代理类型的防火墙赋予了全新的意义,可以称之为第五代防火墙。

  • 一体化安全网关UTM

随着万兆UTM的出现,UTM代替防火墙的趋势不可避免。在国际上,飞塔公司高性能的UTM占据了-定的市场份额,国内,启明星辰的高性能UTM则一直领跑国内市场。?

?防火墙的三种配置

防火墙配置有三种: Dual-homed方式、 Screened- host方式和Screened-subnet方式。
? ?Dual-homed方式最简单。Dual-homedGateway放置在两个网络之间, 这个Dual-omedGateway又称为bastionhost。 这种结构成本低,但是它有单点失败的问题。这种结构没有增加网络安全的自我防卫能力,而它往往是受“黑客”攻击的首选目标,它自己一旦被攻破,整个网络也就暴露了。
? ? Screened-host方式中的Screeningrouter为保护Bastionhost的安全建立了-道屏障。 它将所有进入的信息先送往Bastionhost,并且只接受来自Bastionhost的数据作为出去的数据。这种结构依赖Screeningrouter和Bastionhost, 只要有一个失败, 整个网络就暴露了。
? ? Screened-subnet包含两个Screeningrouter和两个Bastionhost。在公共网络和私有网络之间构成了一个隔离网,称之为”停火区”(DMZ, 即DemilitarizedZone) ,Bastionhost放置在" 停火区”内。这种结构安全性好,只有当两个安全单元被破坏后,网络才被暴露,但是成本也很昂贵。

硬件:先把国内防火墙厂商分成两大阵营:自研硬件与非自研硬件,又或者多核与x86;可称之硬件自研有华为,华三,迪普和山石。他们是有硬件研发能力的,好处是设备性能稳定性较好,相对成本会低一些,这也是运营商集采几乎都是这几家参与的原因,多核的缺点就是功能开发不够灵活,并且开启应用层功能后,整机性能下降较为严重。其他厂商用的是x86工机装centos然后运行自己的软件,本质上他们属于软件开发者,好处是产品功能丰富,界面友好,但高吞吐场景下(实际吞吐20G以上)稳定性欠佳,缺少快转模块,转发及高并发处理能力差,还有就是双机组网只是最简单的vrrp,切换慢,无法满足此场景的要求。不过呢,一般企业 政府 学校出口就几个G,数据中心和运营商才会用到这么大吞吐。几十G上百G的场景hw h3c dp hillstone都是有机框式设备,其他几家只有天融性有但运营商场景几乎没见过.启明也有但是近几年新产品,场景和案例较少. 所以硬件这方面,在高吞吐场景下,自研硬件厂商靠谱,哦对了自研硬件厂商还有个特点就是端口非常多,以华为华三为代表,一个千兆防火墙能有十几个千兆接口,当交换机都没问题

2、软件:上面提到非自研硬件厂商的产品特点是基于x86架构的开发,相对开发比较灵活,不同于mips架构底层硬件驱动兼容性问题较多.所以这类厂商的功能非常丰富,各种花里胡哨的功能都有,尤其以深信服为首。但需要清楚的一点,防火墙本质是安全防护,访问控制,即状态检测+威胁识别。

?

  系统运维 最新文章
配置小型公司网络WLAN基本业务(AC通过三层
如何在交付运维过程中建立风险底线意识,提
快速传输大文件,怎么通过网络传大文件给对
从游戏服务端角度分析移动同步(状态同步)
MySQL使用MyCat实现分库分表
如何用DWDM射频光纤技术实现200公里外的站点
国内顺畅下载k8s.gcr.io的镜像
自动化测试appium
ctfshow ssrf
Linux操作系统学习之实用指令(Centos7/8均
上一篇文章      下一篇文章      查看所有文章
加:2022-07-21 21:52:42  更:2022-07-21 21:53:05 
 
开发: C++知识库 Java知识库 JavaScript Python PHP知识库 人工智能 区块链 大数据 移动开发 嵌入式 开发工具 数据结构与算法 开发测试 游戏开发 网络协议 系统运维
教程: HTML教程 CSS教程 JavaScript教程 Go语言教程 JQuery教程 VUE教程 VUE3教程 Bootstrap教程 SQL数据库教程 C语言教程 C++教程 Java教程 Python教程 Python3教程 C#教程
数码: 电脑 笔记本 显卡 显示器 固态硬盘 硬盘 耳机 手机 iphone vivo oppo 小米 华为 单反 装机 图拉丁

360图书馆 购物 三丰科技 阅读网 日历 万年历 2024年12日历 -2024/12/29 9:02:58-

图片自动播放器
↓图片自动播放器↓
TxT小说阅读器
↓语音阅读,小说下载,古典文学↓
一键清除垃圾
↓轻轻一点,清除系统垃圾↓
图片批量下载器
↓批量下载图片,美女图库↓
  网站联系: qq:121756557 email:121756557@qq.com  IT数码
数据统计