我们在 TCP/IP协议四层模型与OSI七层模型 的最后说过,在四层模型中每一层都会有对应的风险,而防火墙就是来阻断这些风险的工具。
防火墙的基本功能
防火墙的分类
目前没有权威而明确的分类
按照实现方式:
- 硬件防火墙
- 软件防火墙
按照部署方式:
- 单机
- 网络
【重点】按照检测技术方式:
- 包过滤
- 应用代理
- 状态检测
下一代防火墙NGFW
Next generation firewall
NAT技术
防火墙或者路由器都有这种技术
网络地址转换(NAT,Network Address Translation),用于将局域网内部的私有IP地址转换为公共IP地址,从而实现局域网内部设备与互联网之间的通信。
比如你直接在浏览器搜索 ip 就是你的公网 ip,一般是运营商 ip。
而你在电脑的 ip 则是局域网的 ip
私有IP地址是在家庭、办公室或其他私有网络中使用的,不直接暴露在互联网上,而是通过路由器进行网络地址转换(NAT)后才能访问互联网。常见的私有IP地址范围包括以192.168开头的地址、以10开头的地址以及以172.16-172.31开头的地址段。
RFC 1918 为私有网络预留出了三个IP 地址块,如下:
A 类:10.0.0.0~10.255.255.255
B 类:172.16.0.0~172.31.255.255
C 类:192.168.0.0~192.168.255.255
上述三个范围内的地址不会在因特网上被分配,因此可以不必向ISP 或注册中心申请而在公司或企业内部自由使用。
防火墙的用户管理
AAA认证是指认证(Authentication)、授权(Authorization)和会计(Accounting)三个环节的组合。它是一种用于网络和计算机系统的身份验证和授权机制,旨在确保系统只允许合法用户访问,并记录用户的活动信息。
- 认证(Authentication):认证是确认用户身份的过程。在AAA认证中,系统会验证用户提供的身份信息,例如用户名和密码、数字证书、生物特征等。只有通过认证的用户才能被允许访问系统资源。
- 授权(Authorization):授权是确定用户被允许访问的资源和操作的过程。一旦用户通过认证,系统会根据用户的身份信息和访问请求的特征,决定是否授予用户访问特定资源或执行特定操作的权限。授权机制可以根据用户的身份、角色、策略等进行配置。
- 会计/计费(Accounting):会计是记录用户活动的过程。一旦用户被认证和授权,并且开始访问系统资源,系统会记录用户的活动信息,包括登录时间、访问的资源、操作行为等。这些记录有助于系统管理员监控和审计用户的活动,以确保系统的安全性和合规性。
协议:RADIUS、HWTACACS、LDAP
ACL技术
ACL通常是指“Access Control List”(访问控制列表),它是计算机网络中用于控制资源访问权限的一种机制。ACL被广泛应用于路由器、防火墙、交换机等网络设备上,以及操作系统和数据库管理系统等软件中。
ACL分类
规则匹配顺序
