网络边界安全
防火墻:
防火墻的分類:
-
按物理特性劃分
-
按防火墻結構劃分
-
按防火墻技術劃分
-
防火墻功能
防火墻安全策略
-
定義
-
主要應用
-
作用
安全策略分類
- 域間安全策略
- 域內安全策略
- 接口包過濾
入侵檢測系統(IDS)——網絡攝像頭
部署方式:旁路部署,可多點部署
工作范圍:2-7層
工作特點:根據部署位置監控到的流量進行攻擊事件監控,屬于一個事后呈現的系統,相當于網絡上的監控攝像頭
目的:傳統防火墻只能基于規則執行”是“或”否“的策略,IDS主要是為了幫助管理員清晰的了解到網絡環境中發生了什么事情。
分析方式:
- 基于規則入侵檢測
- 基于異常清空檢測
- 統計模型分析呈現
入侵防御系統(IPS)——抵御2-7層已知威脅
部署方式:串聯部署
工作范圍:2-7層
工作特點:根據已知的安全威脅生成對應的過濾器(規則),對于規則匹配成功的流量阻斷,規則匹配失敗的放通
目的:IDS只能對網絡環境進行檢測,但卻無法進行防御,IPS主要是針對已知威脅進行防御
防病毒網關(AV)——基于網絡側識別病毒文件
判斷信息:數據包
工作范圍:2-7層
目的:防止病毒文件通過外網絡進入到內網環境
?傳統防火墻
傳統防火墻(應用代理防火墻)——每個應用添加代理
- 判斷信息:所有應用層的信息包
- 工作范圍:應用層(7層)
- 和包過濾防火墻的區別:
- 包過濾防火墻工作基于3-4,通過檢驗報頭進行規則表匹配。
- 應用代理防火墻工作7層,檢查所有的應用層信息包,每個應用,需要添加對應的代理服務。
- 技術應用:應用代理技術
- 優勢:檢查了應用層的數據
- 劣勢:檢測效率低,配置運維難度極高,可伸縮性差
傳統防火墻(狀態檢測防火墻)——首次檢查建立會話表
- 部署方式:串聯部署
- 工作范圍:2-7層
- 工作特點:根據已知的安全威脅生成對應的過濾器(規則),對于規則匹配成功的流量阻斷,規則匹配失敗的放通
- 目的:IDS只能對網絡環境進行檢測,但卻無法進行防御,IPS主要是針對已知威脅進行防御
?Web應用防火墻(WAF)——專門用來保護web應用
- 判斷信息:http協議數據的request和response
- 工作范圍:應用層(7層)
- 目的:防止基于應用層的攻擊影響Web應用系統
- 主要技術原理:
統一威脅管理(UTM)——多合一安全網關
- 包含功能:FW、IDS、IPS、AV
- 工作范圍:2-7層(但是不具備web應用防護能力)
- 目的:將多種安全問題通過一臺設備解決
- 優點:功能多合一有效降低了硬件成本、人力成本、時間成本
- 缺點:模塊串聯檢測效率低、性能消耗大
下一代防火墻(NGFW)——升級版的UTM
- 包含功能:FW、IDS、IPS、AV、WAF
- 工作范圍:2-7層
- 和UTM的區別:
- 與UTM相比增加的web應用防護功能;
- UTM是串行處理機制,NGFW是并行處理機制;
- NGFW的性能更強,管理高效
防火墻的性能指標
吞吐量
- 吞吐量:防火墻能同時處理的最大數據量
- 有效吞吐量:除掉TCP因為丟包和超時重發的數據,實際的每秒傳輸有效速率
- 衡量標準:吞吐量越大,性能越高
時延
- 定義:數據包的第一個比特進入防火墻到最后一個比特輸出防火墻的時間間隔指標用于測量防火墻處理數據的速度理想的情況,測試的是其存儲轉發的性能。
- 衡量標準:時延越小,性能越高
丟包率
- 定義:在連續負載的情況下,防火墻由于資源不足,應轉發但是未轉發的百分比。
- 衡量標準:丟包越小,防火墻的性能越高
版權聲明:本文為CSDN博主「Piwrim丶」的原創文章,遵循CC 4.0 BY-SA版權協議,轉載請附上原文出處鏈接及本聲明。
原文鏈接:https://blog.csdn.net/m0_60941423/article/details/122245276
總結
- 上一篇: kali Linux 火狐浏览器改中文
- 下一篇: 查看深信服上网管理版本号和登陆流程