防火墙技术基础篇:认识安全策略、安全区域、域间转发及报文转发流程

本文主要是介绍防火墙技术基础篇:认识安全策略、安全区域、域间转发及报文转发流程,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

防火墙技术基础篇:认识安全策略、安全区域、域间转发及报文转发流程

一、安全策略匹配机制

简单通俗的讲,防火墙设备最基本的用途就是定义数据如何转发,靠什么定义呢?最基本的就是安全策略,当流量来到防火墙之后首先要报文匹配安全策略,先检查这个报文是否符合第一条安全策略的条件,如果符合就按照安全策略定义的规则动作执行,动作有permit和deny,也就是允许转发和不允许转发。如果第一条安全策略没有命中,那么继续匹配其他的安全策略。如果匹配完所有的安全策略都没有命中,那么将执行默认的安全策略动作(deny)。
在配置安全策略的时候简历把精细的策略写到前面,没那么精细的策略放到后面,否则可能会先命中粗略的策略,进而报文匹配不到精细的策略,无法实现我们的需求。

二、什么是防火墙转发策略

防火墙转发策略是指控制哪些流量可以经过设备转发的域间安全策略。防火墙通过有机结合各类用于安全管理与筛选的软件和硬件设备,帮助计算机网络于其内、外网之间构建一道相对隔绝的保护屏障,以保护用户资料与信息的安全性。在这个过程中,防火墙会对域间(除Local域外)转发流量进行安全检查,例如控制哪些内网用户可以访问Internet。
在这里插入图片描述

防火墙转发策略的核心作用是根据一定规则对流量进行筛选,由动作来确定下一步操作。具体来说,防火墙会对收到的流量进行检测,识别流量的属性,如源安全区域、目的安全区域、源地址/地区、目的地址/地区、用户、服务(源端口、目的端口、协议类型)、应用和时间段等。然后,根据这些属性和预设的安全策略,防火墙决定是否转发、丢弃或执行其他操作。
防火墙的转发策略对于确保计算机网络运行的安全性至关重要。通过精心配置防火墙的安全策略,可以隔离并保护内部网络免受潜在的安全威胁,同时记录与检测网络中的各项活动,为用户提供更安全、更可靠的计算机网络使用体验。

三、什么是防火墙安全区域

防火墙安全区域(Security Zone)是防火墙功能实现的基础之一,它是一个逻辑概念,代表一个或多个接口的集合。这些接口所包含的用户具有相同的安全属性。防火墙通过安全区域来划分网络,并标识报文流动的“路线”。每个安全区域具有全局唯一的安全优先级。
在这里插入图片描述

在防火墙的配置中,设备认为在同一安全区域内部发生的数据流动是可信的,因此不需要实施任何安全策略。然而,当不同安全区域之间发生数据流动时,防火墙会触发安全检查,并根据预定义的安全策略来实施相应的安全控制。
安全区域的设置使得防火墙能够更有效地管理和控制网络流量,保护关键资源和信息免受潜在的网络攻击和威胁。通过合理划分安全区域并配置相应的安全策略,可以提高网络的整体安全性。
防火墙使用安全区域来区分一个网络是否安全,一般有4个默认的安全区域。

3.1 Local区域

Local表示本地,防火墙所有的接口都属于local区域。即使防火墙接口划分到了其他的安全区域,那么接口永远也属于local区域。

3.2 Trust区域

Trust为受信任的区域,一般会把防火墙连接内网的接口划分到trust区域。

3.3 DMZ区域

Dmz为非军事化区域。一般把连接到数据中心的接口划分到dmz区域。这个区域的信任程度优于untrust,次于trust。因为服务器是内部的设备认为是可信的,可是服务器又会有让外网用户访问的需求,所以把dmz区域定义为中等信任的区域。

3.4 Untrust区域

Untrust为不受信任的区域,由于Internet非常不安全,所以一般把连接Internet的接口划分到untrust区域。
每个安全区域都会有一个优先级,默认安全区域优先级从高到低为:local>trust>dmz>untrust
在这里插入图片描述

防火墙除了以上4个默认的安全区域之外,用户还可以根据自己的需求自行创建安全区域,创建的安全区域需要设置安全区域优先级,优先级不可以和已有的安全区域优先级相同。

四、什么是防火墙域间转发

默认情况下,相同安全区域之间的网络可以相互通信。例如,两台位于Trust区域的计算机可以互相访问。
但是,如果需要不同安全区域之间的通信(例如,Trust区域与Untrust区域之间),默认情况下是被隔离的。
为了实现不同安全区域之间的通信,需要配置安全策略。
安全策略由匹配条件(例如五元组、用户、时间段等)和动作组成,用于控制流量。当防火墙收到流量时,会根据安全策略的匹配条件对流量进行识别和匹配。
例如,可以创建一条安全策略,允许从Trust区域访问Untrust区域的流量,从而实现不同安全区域之间的通信。

五、报文转发的流程

如果防火墙接收到一个数据包,那么会根据下面的流程进行处理:
如果报文从某个接口接收到或者准备从这个接口发送出去的时候,检查这个接口是否加入了安全区域,如果这个接口并没有加入任何的安全区域,那么这个直接把这个报文丢弃;如果该接口已经加入了安全区域,解析报文的目的IP地址在防火墙的路由表是否可以查询到对应的出接口,如果查询不到也是直接丢弃;如果有路由则查询防火墙的会话表,如果会话表有匹配的条目那么可以直接根据会话表进行转发,就不需要匹配安全策略了,如果会话表没有,那么就需要匹配安全策略了!
希望对您有用,有不对的地方希望不吝赐教,欢迎在评论区留言,分享你的看法。

这篇关于防火墙技术基础篇:认识安全策略、安全区域、域间转发及报文转发流程的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/935061

相关文章

Security OAuth2 单点登录流程

单点登录(英语:Single sign-on,缩写为 SSO),又译为单一签入,一种对于许多相互关连,但是又是各自独立的软件系统,提供访问控制的属性。当拥有这项属性时,当用户登录时,就可以获取所有系统的访问权限,不用对每个单一系统都逐一登录。这项功能通常是以轻型目录访问协议(LDAP)来实现,在服务器上会将用户信息存储到LDAP数据库中。相同的,单一注销(single sign-off)就是指

Spring Security基于数据库验证流程详解

Spring Security 校验流程图 相关解释说明(认真看哦) AbstractAuthenticationProcessingFilter 抽象类 /*** 调用 #requiresAuthentication(HttpServletRequest, HttpServletResponse) 决定是否需要进行验证操作。* 如果需要验证,则会调用 #attemptAuthentica

Java架构师知识体认识

源码分析 常用设计模式 Proxy代理模式Factory工厂模式Singleton单例模式Delegate委派模式Strategy策略模式Prototype原型模式Template模板模式 Spring5 beans 接口实例化代理Bean操作 Context Ioc容器设计原理及高级特性Aop设计原理Factorybean与Beanfactory Transaction 声明式事物

每天认识几个maven依赖(ActiveMQ+activemq-jaxb+activesoap+activespace+adarwin)

八、ActiveMQ 1、是什么? ActiveMQ 是一个开源的消息中间件(Message Broker),由 Apache 软件基金会开发和维护。它实现了 Java 消息服务(Java Message Service, JMS)规范,并支持多种消息传递协议,包括 AMQP、MQTT 和 OpenWire 等。 2、有什么用? 可靠性:ActiveMQ 提供了消息持久性和事务支持,确保消

认识、理解、分类——acm之搜索

普通搜索方法有两种:1、广度优先搜索;2、深度优先搜索; 更多搜索方法: 3、双向广度优先搜索; 4、启发式搜索(包括A*算法等); 搜索通常会用到的知识点:状态压缩(位压缩,利用hash思想压缩)。

【专题】2024飞行汽车技术全景报告合集PDF分享(附原数据表)

原文链接: https://tecdat.cn/?p=37628 6月16日,小鹏汇天旅航者X2在北京大兴国际机场临空经济区完成首飞,这也是小鹏汇天的产品在京津冀地区进行的首次飞行。小鹏汇天方面还表示,公司准备量产,并计划今年四季度开启预售小鹏汇天分体式飞行汽车,探索分体式飞行汽车城际通勤。阅读原文,获取专题报告合集全文,解锁文末271份飞行汽车相关行业研究报告。 据悉,业内人士对飞行汽车行业

零基础学习Redis(10) -- zset类型命令使用

zset是有序集合,内部除了存储元素外,还会存储一个score,存储在zset中的元素会按照score的大小升序排列,不同元素的score可以重复,score相同的元素会按照元素的字典序排列。 1. zset常用命令 1.1 zadd  zadd key [NX | XX] [GT | LT]   [CH] [INCR] score member [score member ...]

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略

Kubernetes PodSecurityPolicy:PSP能实现的5种主要安全策略 1. 特权模式限制2. 宿主机资源隔离3. 用户和组管理4. 权限提升控制5. SELinux配置 💖The Begin💖点点关注,收藏不迷路💖 Kubernetes的PodSecurityPolicy(PSP)是一个关键的安全特性,它在Pod创建之前实施安全策略,确保P

客户案例:安全海外中继助力知名家电企业化解海外通邮困境

1、客户背景 广东格兰仕集团有限公司(以下简称“格兰仕”),成立于1978年,是中国家电行业的领军企业之一。作为全球最大的微波炉生产基地,格兰仕拥有多项国际领先的家电制造技术,连续多年位列中国家电出口前列。格兰仕不仅注重业务的全球拓展,更重视业务流程的高效与顺畅,以确保在国际舞台上的竞争力。 2、需求痛点 随着格兰仕全球化战略的深入实施,其海外业务快速增长,电子邮件成为了关键的沟通工具。

金融业开源技术 术语

金融业开源技术  术语 1  范围 本文件界定了金融业开源技术的常用术语。 本文件适用于金融业中涉及开源技术的相关标准及规范性文件制定和信息沟通等活动。