作爲網絡安全最基礎的産品防火(huǒ)牆已經是安全必配,所以今天給大(dà)家介紹一(yī)下(xià)防火(huǒ)牆,介紹防火(huǒ)牆之前先了解一(yī)個名詞“安全域”
安全域:是指同一(yī)環境内有相同的安全保護需求、相互信任、并具有相同的安全訪問控制盒邊界控制策略的網絡或系統。比如互聯網和局域網是兩個不同的安全域,同一(yī)局域網裏,服務器和終端屬于兩個不同的安全域,安全域的劃分(fēn)沒有嚴格的标準,根據實際網絡情況自行劃分(fēn)。
介紹安全域主要是爲了更好的介紹防火(huǒ)牆功能及部署。網絡安全建設,安全域的劃分(fēn)非常重要,不通安全域将采用不通的安全策略,不同級别的安全策略直接影響到安全設備的部署及配置。
------------------------------------------------------------------------------------------------------
防火(huǒ)牆基本定義:防火(huǒ)牆指的是一(yī)個由軟件和硬件設備組合而成、在内部網和外(wài)部網之間、專用網與公共網之間的界面上構造的保護屏障.是一(yī)種獲取安全性方法的形象說法,它是一(yī)種計算機硬件和軟件的結合,使安全域與安全域之間建立起一(yī)個安全網關。
防火(huǒ)牆功能:
路由功能:靜态路由、動态路由、策略路由、ISP路由等。
NAT功能:将内部網絡的私有IP地址轉換爲公有IP地址。
端口映射:就是将外(wài)網主機的IP地址的一(yī)個端口映射到内網中(zhōng)一(yī)台機器,提供相應的服務。當用戶訪問該IP的這個端口時,自動将請求映射到對應局域網内部的機器上。
注:端口映射可以做一(yī)對一(yī)映射,也可以做多對一(yī)映射,但是不能做一(yī)對多映射。一(yī)對一(yī)端口映射可以使用相同端口,如使用外(wài)網80端口映射内網服務器80端口,也可以使用不同端口映射,如使用外(wài)網10080映射内網80端口。80端口和8080端口需要備案,不備案的端口即使做了端口映射和安全策略也是不通的。
安全策略:通過對源地址、目的地址、服務、時間、允許/阻止等内容進行配置做相關安全訪問策略。
帶寬管理:流控功能(簡單的用用還行,要像管理效果好,還是要使用專門的流控設備)
會話(huà)管理:對通過防火(huǒ)牆設備會話(huà)經行統計、分(fēn)析、控制等
VPN功能: IPSEC VPN 、SSL VPN、PPTP 、L2TP 、GRE等
其他功能: 病毒防護、入侵防護、漏洞掃描、上網行爲管理。
以上功能根據廠家不同功能模塊也會有所不同,請根據實際情況選擇。現在防火(huǒ)牆已具備所有路由器功能,所以很多時候可以用防火(huǒ)牆直接替換路由器,新建網絡直接用防火(huǒ)牆做出口。
防火(huǒ)牆部署:
路由模式:多用于出口部署配置NAT、路由、端口映射。此模式下(xià)防火(huǒ)牆所有功能均可以正常使用。
透明模式:多用于串連與網絡中(zhōng),對兩個不通安全域做邊界防護。此模式下(xià)端口映射功能、NAT功能、VPN功能無法使用。
旁路模式:使用場景較少,代替VPN設備使用時旁路部署
路由模式與透明模式,部署場景也需要根據實際情況來選擇,路由模式需要對網絡進行改動,透明模式對當前網絡無需進行改動,透明模式下(xià)部分(fēn)功能無法使用。
防火(huǒ)牆雙機熱備: 主主、主備
防火(huǒ)牆應用場景:
出口網關:比較常見的使用場景,使用防火(huǒ)牆在互聯網出口處,提供NAT、路由、端口映射等功能。
安全域邊界防護:專網或大(dà)型網絡内對各個不同安全域進行隔離(lí)防護。
IPSEC VPN:兩台或兩台設備之間使用IPSEC VPN進行互聯,多用于總部與分(fēn)支網絡使用。
防火(huǒ)牆參數:
設備吞吐量:設備傳輸數據量,對應到具體(tǐ)設備選型時關注的參數爲帶寬
設備并發連接數:能夠同時處理的點對點連接的最大(dà)數目,對應到具體(tǐ)設備選型時關注的參數爲同時在線人數
設備新建連接數:防火(huǒ)牆一(yī)秒内創建的連接數
設備接口: 設備配備的電(diàn)口、光口、等物(wù)理接口
設備選型方面,沒有特殊要求,設備接口數都可以滿足需要,如果有特殊需要購買前需要提前溝通、主要關注設備吞吐量與并發連接數兩個參數,選擇時需要考慮以後網絡擴容,避免重複購買。
通過上面詳細的一(yī)些介紹,希望可以幫助大(dà)家了解更多防火(huǒ)牆基本知(zhī)識,介于防火(huǒ)牆排名可能會有軟文嫌疑,請自行百度。
上一(yī)篇:人民日報:軍地各級應成立網絡安全領導機構
下(xià)一(yī)篇:網絡安全産品普及------上網行爲管理