防火墙的要求、功能、附加功能及局限性你了解多少？

hwyzw

    网络通信的管控规定：任何进出系统的数据传输都必须通过防火墙，只有符合内部访问策略授权的通信才被许可通行，防火墙自身具备极高可靠性。

    防火墙的核心职责包括，对数据传输进行筛选与管理，对传输信息进行深度检测与过滤，能够完整记录所有操作行为与系统状态，支持统一配置与维护各个子系统的设置，同时具备强大的自我防护能力以抵御外部威胁。

    防火墙具备一些扩展用途，包括，管理数据传输的速率，实现网络地址的转换，以及构建安全的远程连接通道，这种通道被称为虚拟专用网络。

    防火墙存在若干不足之处，首先，它禁用部分功能导致使用不便，其次，对于内部发起的攻击无法进行防御，再者，它会导致数据传输速度减慢，同时存在单点故障的风险，此外，它还存在其他一些缺点。

    防火墙的构造方式：首先是双宿主机架构，这种防火墙配置了两个网络接口，借助数据包筛选与代理机制来连接网络。其设计相对基础，通常能够依据IP位置和端口编号实施拦截操作。

    隔离子网方式：亦称过滤子网方式，在两个包过滤路由设备之间构建一个独立的子网，该子网被称作DMZ网络，或非军事化区域，当前防火墙普遍采用此种方式，具备更优越的功能

    介绍防火墙PIX的设置方法：PIX是思科公司出品的硬件防火墙，属于常见的网络防护设备。

   

    三种接口类型，分别是，第一种是内部接口，用于连接内部网络和内部服务器，第二种是外部接口，用于连接外部公共网络，第三种是中间接口，即DMZ区，用于连接对外提供服务的服务器。

    常用的指令包括，ip，nat，route，fixup等。

    10、防火墙、、ip add

    11、防火墙、nat、route、acl

    12、防火墙访问规则：

    1、 可以访问任何和dmz区域

    2、 dmz可以访问区域

    3、 访问dmz需配合(静态地址转换)

    4、 访问dmz需要配合acl(访问控制列表)

   

    其他软件防火墙：天网防火墙、ISA （微软公司）。

    网络安全防护体系中，入侵检测系统作为关键组成部分，部署于防火墙内侧，构成安全防御的第二道防线，对防火墙功能形成有效补充。该系统通过监测网络关键节点，获取相关数据，并实施深度分析，能够及时发现违反安全规范的行为以及潜在入侵活动。一旦侦测到异常情况，系统会立即启动自动应对机制，力求在系统遭受破坏或数据遭到损失之前，有效遏制入侵者的进一步渗透行为。

    入侵检测系统通常安装在三个位置，分别是服务器区域的交换机上，接入路由器之后的第一台交换机上，以及其他需要重点保护的网段交换机上，这些设备一般采用并联方式，确保网络不会中断。

    入侵防御系统IPS是防火墙之后的又一重安全防护措施，发挥着重要的辅助作用。该系统会对网络的重要节点进行信息采集，并对这些信息进行分析，以便发现可能的攻击行为。一旦检测到攻击企图，IPS会立即将攻击数据包丢弃，或者对攻击源头采取阻断措施，从而切断攻击路径。这种设备通常被串联在系统中，但需要注意的是，如果它发生故障，可能会导致网络中断。

    防火墙通常只审查网络路径与传输环节的数据单元，无法辨识应用层面的信息。IPS/IDS设备则能够分析数据包内部的每个字节。

    IPS与IDS的差异在于部署方式，IPS设备直接串联于网络路径中，当检测到威胁时会中断网络连接。而IDS设备则采用旁路方式并联接入网络，它不会影响网络的正常通行。

    IDS/IPS设备安装在需要将交换机端口设置为镜像端口的位置，能够监测整个网络的数据传输情况。