国产一级a片免费看高清,亚洲熟女中文字幕在线视频,黄三级高清在线播放,免费黄色视频在线看

我們這里說的防火墻（Firewall）是一種網(wǎng)絡(luò)設(shè)備，它在網(wǎng)絡(luò)中起到兩個(gè)最基本的功能：劃分網(wǎng)絡(luò)的邊界、加固內(nèi)網(wǎng)的安全。

一、劃分網(wǎng)絡(luò)的邊界

防火墻設(shè)備的其中一個(gè)功能，就是劃分網(wǎng)絡(luò)的邊界，嚴(yán)格地將網(wǎng)絡(luò)分為“外網(wǎng)”和“內(nèi)網(wǎng)”。

“外網(wǎng)”則是防火墻認(rèn)為的——不安全的網(wǎng)絡(luò)，不受信任的網(wǎng)絡(luò)；“內(nèi)網(wǎng)”則是防火墻認(rèn)為的——安全的網(wǎng)絡(luò)，受信任的網(wǎng)絡(luò)。

二、加固網(wǎng)絡(luò)的安全

防火墻的其中一個(gè)功能，就是網(wǎng)絡(luò)流量流向的問題（內(nèi)到外可以訪問，外到內(nèi)默認(rèn)不能訪問），這就從一定程度上加強(qiáng)了網(wǎng)絡(luò)的安全性，那就是：“內(nèi)網(wǎng)屬于私有環(huán)境，外人非請莫入！”

另外，防火墻還能從另外一些方面來加固內(nèi)部網(wǎng)絡(luò)的安全：

1：隱藏內(nèi)部的網(wǎng)絡(luò)拓?fù)?/strong>

這種情況用于互聯(lián)網(wǎng)防火墻。因?yàn)閮?nèi)網(wǎng)一般都會使用私有IP地址，而互聯(lián)網(wǎng)是Internet的IP地址。

由于在IPv4環(huán)境下IP地址不足，內(nèi)部使用大量的私有地址，轉(zhuǎn)換到外部少量的Internet地址，這樣的話，外部網(wǎng)絡(luò)就不會了解到內(nèi)部網(wǎng)絡(luò)的路由，也就沒法了解到內(nèi)部網(wǎng)絡(luò)的拓?fù)淞恕?/p>

同時(shí)，防火墻上還會使用NAT技術(shù)，將內(nèi)部的服務(wù)器映射到外部，所以從外部訪問服務(wù)器的時(shí)候只能了解到映射后的外部地址，根本不會了解到映射前的內(nèi)部地址。

2：帶有安全檢測防御

這種功能并不是每一款防火墻都有。

安全檢測系統(tǒng)（簡稱“IDS”）是一種對網(wǎng)絡(luò)傳輸進(jìn)行即時(shí)監(jiān)視，在發(fā)現(xiàn)可疑傳輸時(shí)發(fā)出警報(bào)或者采取主動(dòng)反應(yīng)措施的網(wǎng)絡(luò)安全設(shè)備。

它與其他網(wǎng)絡(luò)安全設(shè)備的不同之處便在于，IDS是一種積極主動(dòng)的安全防護(hù)技術(shù)。

3：會話日志功能

防火墻都有“會話記錄”功能，每一個(gè)數(shù)據(jù)包在經(jīng)過防火墻之后，都可以在防火墻的會話表中查詢到歷史訪問記錄。

如果是外部主機(jī)訪問內(nèi)部呢？當(dāng)然，在你的內(nèi)部網(wǎng)絡(luò)遭受不安全以后，可以在防火墻上查到從外到內(nèi)，到底是哪個(gè)IP地址非法闖入了。

三、防火墻在企業(yè)環(huán)境的應(yīng)用

1：互聯(lián)網(wǎng)出口設(shè)備

這估計(jì)是大家最能想到的一種用途吧。

因?yàn)镮nternet就是一個(gè)最典型的“外網(wǎng)”，當(dāng)企業(yè)網(wǎng)絡(luò)接入Internet的時(shí)候，為了保證內(nèi)部網(wǎng)絡(luò)不受來自外部的威脅侵害，就會在互聯(lián)網(wǎng)出口的位置部署防火墻。

2：分支機(jī)構(gòu)接骨干網(wǎng)作邊界設(shè)備

在電力行業(yè)、金融行業(yè)等大型跨地，跨省的企業(yè)時(shí)，為了企業(yè)中各個(gè)省級、地市級單位的內(nèi)部數(shù)據(jù)通信通常都會自建一張骨干網(wǎng)絡(luò)。

每個(gè)省級、地市級單位辦公網(wǎng)絡(luò)接入骨干網(wǎng)時(shí)，就可以在網(wǎng)絡(luò)接入點(diǎn)部署防火墻，進(jìn)一步提高每個(gè)單位的辦公網(wǎng)絡(luò)安全性。

3：數(shù)據(jù)中心內(nèi)保護(hù)服務(wù)器

數(shù)據(jù)中心（DataCenter）是為企業(yè)存放重要數(shù)據(jù)資料的，同時(shí)數(shù)據(jù)中心內(nèi)會放置各種各樣功能不一的服務(wù)器。

想要保證數(shù)據(jù)的安全，首先就要保證這些服務(wù)器的安全。物理上的安全嘛，你就防火防水防賊唄，應(yīng)用上的安全，找殺毒軟件嘛；但是在網(wǎng)絡(luò)上防止，防止非授權(quán)人員操作服務(wù)器，就需要到防火墻來發(fā)揮作用了。

一般在傳統(tǒng)的數(shù)據(jù)中心內(nèi)，會根據(jù)不同的功能來決定服務(wù)器的分區(qū)，然后在每個(gè)分區(qū)和核心設(shè)備的連接處部署防火墻。

四、防火墻并不普適

不是任何場合都適合部署防火墻。

誰都知道安全性和方便性有時(shí)候會有那么一些沖突。防火墻作為一種網(wǎng)絡(luò)安全設(shè)備，部署在網(wǎng)絡(luò)中會對穿過防火墻的數(shù)據(jù)包進(jìn)行攔截，然后確定它符合策略要求以后才會放行。這會對網(wǎng)絡(luò)傳輸效率造成一定影響。

所以防火墻一般用于數(shù)據(jù)中心，大型企業(yè)總部，國有企業(yè)省級、地區(qū)級辦公機(jī)構(gòu)，帶有服務(wù)器區(qū)域的網(wǎng)絡(luò)環(huán)境或機(jī)密性較高的單位。

五、防火墻的分類

防火墻按照功能和級別的不同，一般分類這么三類：包過濾型防火墻、狀態(tài)檢測型防火墻、代理型防火墻。

1：包過濾型防火墻

這種防火墻只能實(shí)現(xiàn)最基礎(chǔ)的包過濾功能，按照既定的訪問控制列表對數(shù)據(jù)包的三、四層信息進(jìn)行控制，詳細(xì)一點(diǎn)就是：

三層信息：源IP地址，目標(biāo)IP地址
四層信息：源端口，目標(biāo)端口

這種情況其實(shí)用一個(gè)路由器或者三層交換機(jī)，配置ACL就能實(shí)現(xiàn)。

只有符合了條件的數(shù)據(jù)包才能被放行，不符合條件的數(shù)據(jù)包無論如何都不會被放行。但是包過濾型防火墻的性質(zhì)就是那么“教條”與“頑固不化”！

2：狀態(tài)檢測型防火墻

狀態(tài)檢測型防火墻就是為了解決“傻~”的包過濾型防火墻而存在的。它比包過濾型防火墻還多了一層“狀態(tài)檢測”功能。

狀態(tài)化檢測型防火墻可以識別出主動(dòng)流量和被動(dòng)流量，如果主動(dòng)流量是被允許的，那么被動(dòng)流量也是被允許的。

例如TCP的三次握手中，第一次流量是主動(dòng)流量，從內(nèi)到外，第二次流量就是從外到內(nèi)的被動(dòng)流量，這可以被狀態(tài)監(jiān)測型防火墻識別出并且放行。

狀態(tài)監(jiān)測型防火墻會有一張“連接表”，里面記錄合法流量的信息。當(dāng)被動(dòng)流量彈回時(shí)，防火墻就會檢查“連接表”，只要在“連接表”中查到匹配的記錄，就會放行這個(gè)流量。

第一次握手，內(nèi)部主機(jī)10.112.100.101使用隨機(jī)端口10025訪問外部的WebServer

200.100.1.2的TCP 80

三層信息

源IP地址：10.112.100.101 目標(biāo)IP地址：200.100.1.2源端口：TCP 10025 目標(biāo)端口：TCP 80

由于內(nèi)部接口放行所有流量，所以這個(gè)第一次握手的流量被放行了

但此時(shí)，防火墻在連接表中生成了如下內(nèi)容：

第二次握手時(shí)，是外部主機(jī)被動(dòng)彈回的流量

源地址（外部）：200.100.1.2 源端口（外部）：TCP 80

目標(biāo)地址（內(nèi)部）：10.112.100.101 目標(biāo)端口（內(nèi)部）：TCP 10025

此時(shí)，防火墻會暫時(shí)攔截流量，然后檢查連接表，看看內(nèi)部主機(jī)的IP和端口，外部主機(jī)的IP和端口是否與連接表中記錄的相同，如果相同，它就會放行這個(gè)流量。

如果是外部主動(dòng)發(fā)起的流量，而防火墻又沒有允許它訪問內(nèi)部，由于是外部主動(dòng)發(fā)起的流量，所以防火墻的連接表里沒有相應(yīng)的信息，這就會遭到防火墻的拒絕。

從而達(dá)到既保證了內(nèi)部到外部的正常通信，又使得內(nèi)部主機(jī)不受到外部的侵犯，這就是狀態(tài)檢測型防火墻的魅力所在。

目前主流的硬件防火墻幾乎都支持狀態(tài)監(jiān)測功能。

3：代理型防火墻

代理型防火墻一般是一個(gè)安裝在多網(wǎng)卡服務(wù)器上的軟件，擁有狀態(tài)監(jiān)測的功能，但是多了一項(xiàng)功能就是代理服務(wù)器功能。一般有正向代理和反向代理兩種功能：

正向代理用于內(nèi)部主機(jī)訪問Internet服務(wù)器的時(shí)候，特別是Web服務(wù)的時(shí)候很管用。當(dāng)內(nèi)部主機(jī)第一次訪問外部的Web服務(wù)器時(shí)，代理服務(wù)器會將訪問后的內(nèi)容放在自己的“高速緩存”中。

當(dāng)內(nèi)部主機(jī)再次訪問該Web服務(wù)器的時(shí)候，如果有相同的內(nèi)容，代理服務(wù)器就會將這個(gè)訪問定位到自己的高速緩存，從而提升內(nèi)部主機(jī)的訪問速度。

反向代理和正向代理有點(diǎn)類似，只不過訪問的方向是外部到內(nèi)部。

當(dāng)外部主機(jī)要訪問內(nèi)部發(fā)布的某個(gè)服務(wù)器的時(shí)候，不會讓它把訪問目標(biāo)定位到內(nèi)部服務(wù)器上，而是反向代理設(shè)備上。

反向代理設(shè)備會從真實(shí)的服務(wù)器上抽取數(shù)據(jù)到自己的緩存中，起到保護(hù)真實(shí)服務(wù)器的功能。

。

最新弱電資料更新—弱電報(bào)價(jià)之451定額（4月21日）