网信安全

防火墙
时间:2017-04-24   

【文档导读】本文以Cisco安全设备为例,介绍防火墙的基本概念。

1.接口的安全等级

图1描述了防火墙在网络中的位置。

图1 接口的安全等级

与路由器类似,防火墙用于连接不同的网络;与路由器不同,防火墙的主要功能是控制(允许或拒绝)网络间的流量,以保护敏感资源,使其免遭攻击或窥探。该功能主要体现在两个方面:控制内部用户主动发起的向外连接,为网管提供灵活性;允许外部用户主动取用对外发布的资源,为外网提供服务等。

目前的防火墙产品一般都提供多个物理接口。实际应用中,一般用一个接口连接内部网络、一个接口连接外部网络(通常是Internet),一个或多个接口用于连接运行对外服务的服务器,这些服务器所在的区域一般称为DMZ(demilitarized zone)。

从可信任度看,内网、外网和对外服务器各不相同。其中,内网最可信,可以认为其安全级别最高;外网最不可信,安全级别最低;而DMZ居中。防火墙允许用户任意设置物理接口的安全等级,以连接适当的网络。

2.核心安全策略

防火墙的核心安全策略是,在默认情况下,允许高安全级别主机主动发起与低安全等级主机的连接,并放行相应的返回报文;不允许低安全等级主机主动发送连接请求给高安全级别的主机。

例如,在图2中,防火墙允许内网主机发起连接请求后,将在内部存储与该连接有关的参数,接收到回应报文后,将检视事先存储的连接参数,在确认该报文系合法的返回报文后,方允许其通行。对于由外网主机主动发起的内向请求,因找不到相关状态参数,防火墙将阻止其通过。当然,经过适当设置,防火墙也允许外网主机主动发起内向请求(一般见于外网主机访问DMZ的情况)。

图2 核心安全策略

相关文章:
读取内容中,请等待...

版权所有:北华航天工业学院  冀ICP备05024132号  冀公网安备13100302000507号

地址:河北省廊坊市爱民东道133号 邮编065000 总值班室电话:0316-2083201