防火墙主要功能
伴随着互联网的不断发展,网络安全正面临着前所未有的威胁和挑战,防火墙作为网络安全中的重要设备,通过其丰富的安全功能来保护网络免受各类安全攻击。本文就防火墙的基础功能和高级功能进行简单的介绍。
1 防火墙概述
在介绍防火墙功能之前,先简单介绍下防火墙一词的前世今生。防火墙一词源于一种古代的消防建筑。在古代,由于房屋通常是木质结构,一旦失火极易蔓延,造成大量生命财产损失。为了在火灾时隔断火势的传播,人们把结实的石块叠起来,围绕着房子筑起了一堵墙,以此为屏障,这种防护构筑物称为防火墙。时至今日,防火墙一词被引入通信领域中。因为在网络(内部网络)与网络(外部网络)之间存在着安全入侵和威胁,所以人们也需要在网络之间设置一道防火墙。
在网络领域中,防火墙可以是由独立的硬件与软件组合而成的硬件防火墙,也可以是嵌入到其他设备系统的软件防火墙。其本质是将内部网络与外部网络隔离开来的一道防御系统,它会对流经防火墙的数据进行安全审查,只有经过防火墙授权的数据才被允许访问内部网络,从而保护内部网络免受非法用户的攻击和入侵。如今,防火墙已然成为保护网络数据安全不可或缺的一种手段。
图1-1 防火墙数据访问示意图
2 防火墙主要功能
当面临大量的网络攻击时,防火墙能够作为网络安全防护的第一道屏障,不被非法获取或破坏,依靠的是丰富的安全功能。由于不同安全厂商间的防火墙产品在支持的功能上有所差异,因此,本文仅介绍一些通用的防火墙功能,包括基础的防火墙功能和高级功能。
2.1 基础防火墙功能
本节将介绍如下基础防火墙功能:
●访问控制
●NAT
●日志记录与监控
2.1.1 访问控制
访问控制是防火墙常见的功能,它主要通过包过滤来实现。包过滤将检查转发报文的报文头信息,包括源IP地址、目的IP地址、源端口号、目的端口号及协议类型(即五元组)。当用户在防火墙设置了过滤规则后,会在防火墙中形成一个过滤规则表,规则匹配的动作是允许(Permit)或拒绝(Deny)。报文进入防火墙时,防火墙会根据报文的头部信息与过滤规则表进行逐条比对,根据对比的结果来决定是否允许数据包通过。图中IP报文2未能匹配过滤规则2被拒绝通过,而IP报文1和3符合匹配规则被放行通过。
图2-1 包过滤访问控制示意图
2.1.2 NAT
NAT(Network Address Translation,网络地址转换)是指将一个IP地址转换为另一个IP地址的过程,主要用于实现内部网络访问外部网络的功能。由于防火墙大多部署在企业网络的边界出口,用于与外部的Internet网络隔离,内部用户想要访问互联网通常需要借助防火墙的NAT功能。不同的NAT适用于不同场景,这里仅介绍最常用的源NAT地址转换。源NAT主要是对IP报文的源地址进行转换,将用户的私网IP地址转换为公网IP地址,这样能使众多的私网用户利用少量的公网地址即可访问Internet,有助于减缓可用IP地址空间的枯竭。
图2-2 源NAT转换示意图
2.1.3 日志记录
当报文到达防火墙时,防火墙会扫描报文并根据配置的防火墙策略执行动作,这些动作包括允许或拒绝报文通过。防火墙此时会将事件记录在日志当中,这些日志在监控内部网络与Internet之间的流量信息、识别非法的访问连接等流量审计活动中能够发挥重要作用。防火墙通常支持本地保存日志,或是将日志保存在内网专门存放日志的服务器里。
图2-3 防火墙日志记录示意图
2.2 高级防火墙功能
本节将介绍如下高级防火墙功能:
●IPSec/SSL VPN
●安全攻击防范
●双机热备功能
2.2.1 IPSec/SSL VPN
防火墙支持多种VPN(Virtual Private Network,虚拟专用网络)的接入,并支持用IPSec(IP Security,IP安全)和SSL(Secure Socket Layer,安全套接层)来加密数据。IPSec通常被应用在站点到站点之间VPN数据加密,如总部的内部主机和和分公司主机存在通信需求时,此时分公司设备可和总部的防火墙建立IPSec VPN连接以接入总部内部主机。而SSL VPN更多地应用在企业用户的移动远程办公接入中,移动办公人员通过SSL VPN连接来接入总部办公系统,邮件系统等。
图2-4 防火墙IPSec VPN接入示意图
2.2.2 安全攻击防范
防火墙的安全攻击防范主要是对应用层的业务实施保护,以避免报文受到安全侵害。安全攻击防范主要可以分为三种类型:
●病毒防护:防火墙一般有内置防病毒库,对木马病毒、蠕虫病毒等常见病毒文件进行检测,使得携带病毒的报文无法接入内部网络。
●入侵防御:防火墙入侵防御功能通过预先定义的防御规则,对进入防火墙的报文会与入侵防御特征库相匹配,以此来抵御常见的攻击行为。
●拒绝服务攻击(DoS,Denial of Service)通过未完成的TCP/IP请求连接大量占用主机会话资源使主机最终崩溃,而防火墙会针对这些不正常的TCP/IP连接进行监控,并设定连接数阈值,一旦接入连接数超过该阈值就会关闭它们,从而抵御外部DoS的攻击。
2.2.3 双机热备
由于防火墙多部署于企业网络的出口,内外网之间的业务都要通过防火墙进行转发。若防火墙出现宕机将造成业务中断,因此,防火墙的可靠性就显得格外重要。为了更好地应对单机设备运行的风险,防火墙通过使用双机热备技术实现冗余功能,类似于虚拟路由冗余协议(VRRP,Virtual Router Redundancy Protocol),当局域网内承担路由转发功能的设备失效后,另一台将自动接管,从而实现IP路由的热备份与容错。双机热备技术可以将一组防火墙虚拟成一台防火墙。其中,仅有一台防火墙可以处于活动,称为主设备(Active),其余称为备设备(Backup)。防火墙可通过此技术实现将配置和会话表(协议的连接状态表)信息的同步,若主防火墙发生故障,备防火墙可以平滑的接替,保障网络的稳定运行。
图2-5 防火墙主备切换示意图
3 总结
在互联网日益发展的今天,开放式网络受到的安全威胁日益增多,为了提高网络的安全性,越来越多的用户选择了部署防火墙。通过对防火墙功能的灵活运用,可以有效地保证网络安全和信息安全,保障网络正常运行,为人们提供良好的上网环境。
相关标签:
点赞
更多技术博文
-
全调度以太网(GSE),中国智算网络新标准GSE网络作为一种全调度以太网技术,专为大规模AI训练集群设计,通过按需调度实现无损性能,提供灵活快速的部署方案,构建开放生态,显著提升智算效率和运维体验。
-
#知识百科
-
-
以太和PON,谁能更好地支撑办公室横向流量业务?了解以太彩光与PON的区别,解析办公资源共享难题,锐捷极简以太彩光方案助您高效适配办公网,共享打印无压力!
-
#交换机
-
-
场景无线 驱动高效办公!锐捷新一代企业无线办公解决方案全新发布!面对企业数智化转型中的无线办公网络挑战,锐捷新一代企业无线办公解决方案通过全场景AP、智能调度与云端智能运维等技术,实现网络性能、用户体验与运维效率的全面提升。
-
#无线网
-
#办公网
-
-
以太彩光和PON,运维管理谁技高一筹?锐捷网络提供极简以太全光方案,简化配置流程,降低学习成本,让全光网络升级更平滑。
-
#交换机
-
